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RESUMO 



A sociedade da informacao em que vivemos hoje e resultado do 
desenvolvimento das novas tecnologias de informacao e comunicacao, que por 
sua vez tern exigido das pessoas a necessidade onipresente de acesso rapido as 
informacoes e dommio da tecnologia. A utilizacao de documentos eletronicos 
atraves da utilizacao de redes de comunicacao, em especial a Internet, tern 
permitido a existencia de acordos e contratos virtuais, ao mesmo tempo em que 
faz surgir novos desafios. A identificacao da autoria e a preservacao da 
integridade de um documento ou contrato eletronico sao os principals requisites 
para a garantia da validade e eficacia juridica dessas relacoes. A descoberta da 
criptografia assimetrica, utilizada em conjunto com uma infra-estrutura de 
certificacao de chaves publicas (ICP), permitiu o desenvolvimento das tecnicas 
que compoem a assinatura digital. A assinatura digital tern por objetivo 
assegurar a autenticidade e integridade de documentos ou mensagens 
eletronicas, a fim de que os mesmos possam ser utilizados com seguranca e 
fornecam maior eficacia probatoria em caso de eventuais litfgios. A legislacao 
relacionada ao tema ainda nao conseguiu acompanhar o mesmo ritmo da 
evolucao tecnologica. Esse trabalho procura apresentar uma analise cntica das 
questoes tecnicas e legais relacionadas ao uso e a validade dos documentos 
eletronicos, analisando tambem a legislacao existente e as proposicoes em 
tramitacao no Congresso Nacional. 
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ABSTRACT 



The information society in which we live today is the result of the development 
of new communication and information technologies that have imposed on 
people the need to have quick access to information and working knowledge of 
the technology. The use of electronic documents via communication networks, 
especially the Internet, has allowed the emergence of virtual contracts and 
agreements while giving rise to a host of new challenges. The proper 
identification of a document's authorship and its integrity are the main 
requirements to guarantee the validity, efficacy and legality of these agreements 
and contracts. The advent of asymmetric cryptography, used on top of a public 
key certification infrastructure (PKI), has fostered the development of the many 
techniques that make up a digital signature. The main goal of a digital signature 
is to attest the authenticity and integrity of electronic documents or messages in 
order to provide greater legal protection in case of litigation. Legislation related 
to this subject is struggling to keep up with the speed of the technology. This 
paper attempts to present a critical analysis of the many technical and legal 
issues related to the use and validity of electronic documents in light of the 
current legislation and law projects being considered by the Brazilian Congress. 
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1. INTRODUQAO 

Os documentos eletronicos tern se tornado cada vez mais presentes no dia a dia das 
pessoas e organizacoes. O numero de documentos elaborados ou dispomveis em meio 
eletronico tern crescido de forma rapida e contmua. A necessidade pratica de recuperacao, 
manipulacao e disseminacao dessas informacoes tern mostrado que o gerenciamento de 
grandes volumes de informacao em papel e dispendioso e, muitas vezes, ineficiente. 

Com a popularizacao dos microcomputadores e o surgimento de redes de 
comunicacao, em especial a Internet, o mundo nunca esteve tao perto de se tornar, de fato, a 
"aldeia global" a qual se referia Marshall Mcluhan 1 , pesquisador canadense de comunicacao 
em massa. Atraves da tecnologia hoje disponfvel, vemos surgir uma sociedade onde a 
informacao e cada vez mais sinonimo de poder. 

A utilizacao de navegadores com interface multimfdia, associada ao uso de 
conexoes de alta velocidade, tern estimulado o intercambio de dados sejam eles textos, 
imagens ou sons. Essa comodidade possibilitou o surgimento de novos servicos como a 
realizacao de transacoes eletronicas e, em especial, aquelas relacionadas ao comercio 
eletronico. O fato de serem eletronicos nao os torna essencialmente diferentes, uma vez que 
ambos representam uma manifestacao de vontade das partes envolvidas, atraves de uma 
contratacao eletronica. A diferenca esta apenas no suporte, ou seja, na substituicao do papel 
pela rmdia eletronica. 

Entretanto, o uso da tecnologia digital, ao agregar comodidade e rapidez nos 
processos, traz tambem um aumento no numero de fraudes. Segundo o Centro de Estudos, 
Resposta e Tratamento de Incidentes de Seguran§a no Brasil (CERT.br), mantido pelo Comite 
Gestor da Internet (CGI), o numero de tentativas de fraudes bancarias e financeiras no periodo 
compreendido entre 1999 e 2005 cresceu de forma exponencial [1]. 

Esse crescimento esta diretamente relacionado as caracteristicas intrinsecas dos 
documentos eletronicos e as falhas de identifica§ao dos usuarios e sistemas envolvidos. Isso 
tern representado um grande desafio tecnico e juridico, em razao da rapida evolu§ao 
tecnologica e da dificuldade de adapta§ao ou criacao de novos instrumentos juridicos. 

Essa nova realidade e destacada no "Livro Verde para a Sociedade da Informa§ao 
em Portugal", elaborado pelo Ministerio da Ciencia e Tecnologia em Lisboa: 



1 Marshall McLuhan foi um visionario educador da rmdia em massa. "The medium is the message", talvez a sua 
frase mais famosa, era uma de suas avancadas percepcSes do impacto da rmdia na sociedade. 
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"A sociedade da informagao, pela sua propria natureza e novidade intrinseca, 
levanta na sua implementagao um conjunto de questdes de indole legislativa e 
administrativa. Neste sentido, novos dominios da Sociedade da Informagao 
carecem de regulagao adequada contemplando a protegao de valores bdsicos 
comuns a civilizagao do Estado de Direito e da democracia." [2] 

O surgimento das assinaturas digitais em conjunto com a certificacao digital 
permitiu um avanco tecnologico que tern sido amparado juridicamente pela Medida Provisoria 
2.200-2 de 24 de agosto de 2001, que instituiu a Infra-estrutura de Chaves Publicas Brasileira 
(ICP-Brasil). Entretanto, em razao da interdisciplinaridade e complexidade do assunto, muitas 
questdes podem ser discutidas com a sociedade de forma a tornar mais transparente essa 
importante mudanca de paradigma: a utilizacao de documentos e contratos eletronicos com 
validade e eficacia juridica. 

Esse trabalho procura apresentar uma analise crftica das questoes tecnicas e legais 
relacionadas ao uso e a validade dos documentos eletronicos, analisando tambem a legislacao 
existente e as proposicoes em tramitacao no Congresso Nacional. 

Os capftulos 1 e 2 apresentam respectivamente uma introducao ao assunto e os 
objetivos a serem alcancados por essa monografia. O capftulo 3 estabelece um paralelo entre 
os documentos tradicionais e os documentos eletronicos, suas caracteristicas e 
particularidades, bem como os requisitos para obtencao de eficacia e validade juridica. 

Os capftulos 4, 5 e 6 apresentam o embasamento necessario para o entendimento 
das questoes tecnicas relacionadas a assinatura digital, que e um dos elementos que propiciam 
a obtencao da autenticidade e da integridade de um documento eletronico. O capftulo 4 
apresenta os conceitos basicos da criptografia, incluindo a criptografia de chaves publicas ou 
assimetrica, base para o desenvolvimento das tecnicas que possibilitaram o surgimento da 
assinatura digital. O capftulo 5 traz uma introducao as assinaturas digitais e apresenta os 
principais algoritmos de assinatura, incluindo as fun§oes de resumo de uma mensagem 
("hash"). O capftulo 6 apresenta a importancia da existencia de uma infra-estrutura de chaves 
publicas (ICP), trata dos varios aspectos relacionados aos certificados digitais e apresenta a 
infra-estrutura de chaves brasileira ICP-Brasil. 

A partir dessas informa§oes, o capftulo 7 trata da regulamenta§ao legal dos 
documentos eletronicos e das assinaturas digitais. Inicialmente, sao citadas as principais leis 
existentes no mundo e depois e apresentada a legisla§ao brasileira come§ando com uma breve 
introdu§ao ao processo legislativo e seus elementos. O capftulo 8 apresenta uma analise 
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critica em relacao aos documentos eletronicos e a assinatura digital. O mesmo analisa diversas 
questoes tecnicas e legais, apresentando inumeras consideracoes e um exemplo pratico, que 
mostra como poderia ser um fluxo de contratacao eletronica. Constitui o capftulo de maior 
relevancia para este trabalho. 

Por fim, o capftulo 10 apresenta as conclusoes desse trabalho, baseadas nas 
analises realizadas no capftulo 8 e tambem considerando a utilizacao pratica de documentos 
eletronicos que contem assinaturas digitais. O capftulo 11 apresenta os anexos I e II tratando 
respectivamente do conteudo da legisla§ao brasileira existente (fntegra de projetos de lei, 
decretos e medidas provisorias citados nesse trabalho) e de uma compara§ao sucinta entre as 
diversas leis existentes em outros pafses. 
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2. OBJETIVO 



O objetivo deste trabalho e apresentar uma analise critica sobre as questoes 
tecnicas e legais relacionadas ao uso e a validade de um documento eletronico digital. Para 
isso, e estabelecido um paralelo entre os documentos tradicionais e eletronicos e sao 
fornecidos subsfdios ao entendimento dos requisites essenciais de autenticidade, integridade e 
tempestividade. Esses requisitos permitem que um documento eletronico digital possa 
alcancar validade e eficacia juridica. A forma de obtencao desses requisitos surgiu de 
inovacoes tecnologicas que apresentam desafios para a adequacao e elaboracao de novas leis. 
Essas questoes tecnicas e a necessidade de amparo legal constituem objeto principal de 
analise deste trabalho. 

Ha tambem um carater educativo nesta monografia, na medida em que a mesma 
pode ser utilizada como material de referenda em relacao aos temas documento eletronico, 
assinatura digital e legisla§ao relacionada. 
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3. DOCUMENTO TRADICIONAL VERSUS DOCUMENTO 
ELETRONICO 



3.1. CONTEXTO HISTORICO 

O ser humano sempre tentou deixar tracos de sua existencia e de sua cultura para 
as futuras geracoes. Quando o homem da caverna rabiscava na pedra cenas de cacadas e lutas, 
enfim retratos do seu cotidiano, sequer tinha nocao de que estava exercendo uma atividade de 
documentacao. 

Com o advento da escrita cuneiforme pelos sumerios a mais de 3.500 anos AC, o 
conhecimento passou a ser entendido de uma maneira mais uniforme, diminuindo 
drasticamente o grau de subjetividade antes existente. Dessa forma, a informacao original 
estava apta a se perpetuar ao longo do tempo. 

O termo documento tern origem no latim documentum, que por sua vez deriva do 
verbo docere que em latim significa ensinar, indicar [3]. Essa origem revela uma 
caracteristica essencial de um documento - sua finalidade de transmitir informacoes. 

Com a utilizacao de suportes materiais resistentes (pedra, ceramica, papiro, 
pergaminho e finalmente o papel) e que o documento foi associado a algo tangfvel, palpavel. 
Esse fato, associado a portabilidade e a possibilidade de disseminacao da informacao, e que 
mais tarde permitiu o surgimento dos codigos de leis, do livro, da literatura e tantas outras 
formas da expressao do conhecimento. 

Segundo o dicionario "Novo Dicionario Aurelio da Lingua Portuguesa"[4], a 
palavra documento significa: 

1. Qualquer base de conhecimento, fixada materialmente e disposta de maneira 
que se possa utilizar para consulta, estudo, prova, etc. 

2. Escritura destinada a comprovar um fato; declaragao escrita, revestida de 
forma padronizada, sobre fato(s) ou acontecimento(s) de natureza juridica. 

3. Qualquer registro grdfico. 

4. Qualquer arquivo com dados gerados por um aplicativo, geralmente aquele 
criado em processador de textos. 

Como foi citado anteriormente, o conceito de documento nao tern uma relacao 
necessaria com o papel, significando apenas a fixacao do conhecimento ou da informacao, 
para acesso e posterior comprovacao, independentemente do meio utilizado. Na verdade nao 
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existe diferenca semantica entre o documento tradicional e o documento eletronico - ambos 
representam um fato. A diferenca esta apenas no suporte, na substituicao do papel pela mfdia 
eletronica, seja ela um disquete, um CD ou ate mesmo um arquivo no disco rigido do 
computador. 

Atualmente, apos o advento da informatica e tambem da rede Internet, o volume 
de informacSes disponfveis a sociedade tern crescido exponencialmente. Embora as 
informacoes armazenadas em computadores ainda sejam poucas em relacao ao total, a 
tendencia e que cada vez mais o papel perca espaco para a mfdia eletronica. Isso nao se deve 
somente as dificuldades de manuseio e tratamento da informacao, mas tambem ao alto custo 
relacionado a essas atividades. 

Como e possfvel perceber, o reinado do documento tradicional escrito em papel, 
embora ainda distante de terminar, com certeza ja teve o seu apogeu. 

3.2. DOCUMENTO TRADICIONAL 

Os itens a seguir buscam esclarecer os diversos conceitos utilizados e 
caracteristicas dos documentos tradicionais. A correta interpretacao dos mesmos e muito 
importante para a compreensao deste trabalho. 

Suporte material 

Entende-se por suporte material ou suporte ffsico, a propria materia da qual e 
formado fisicamente o documento. O suporte, segundo ZAGAMI [5], "e uma substancia que 
permite a fixacao dos signos graficos no qual e expresso o documento. O mais comum dos 
suportes a escrituracao e a carta, mas os mais variados tipos de suporte sao abstratamente 
concebfveis". Atualmente, o suporte mais utilizado em documentos e o papel, que acredita-se 
tenha sido inventado na China no ano de 105 DC [6]. Outros exemplos de suporte material 
sao a ceramica, a pedra, o pergaminho, o papiro, a cera, o metal, que tambem tern a 
capacidade de registrar um fato. 

Meio 

O meio e a forma utilizada para representar uma informa§ao, um fato. O meio 
pode ser uma gravura, um sfmbolo, um mapa, um desenho. Entretanto, o meio mais 
tradicional utilizado para representar um documento e o uso da escrita. O uso da escrita 
(meio) em papel (suporte) permitiu o registro preciso e duravel de informa§oes. A aceita§ao, 
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popularidade e adequacao do metodo para o registro de uma informacao foi tao grande, que 
isso explica a imensa quantidade de documentos que assim foram produzidos e continuam a 
ser ate os dias de hoje. 

Indissociabilidade entre o suporte fi'sico e seu conteudo 

O conteudo e qualquer fato, expressao do pensamento, ou manifestacao de vontade 
que possa ser representado utilizando-se um suporte fisico e um meio apropriado. Um 
documento tradicional em papel tern como caracteristica primaria a indissociabilidade entre o 
conteudo e o seu suporte fisico. Ou seja, nao e possrvel passar o conteudo de um documento 
para outro suporte fisico sem que essa acao nao resulte na destruicao do documento original. 
Assim, qualquer reproducao do conteudo tera que obrigatoriamente ser feita em outro suporte 
fisico, atraves de uma imitacao, o que nao garantira as suas caracteristicas originais, dado que 
o suporte da copia nunca sera identico ao do original. 

Autoria 

O elemento mais comum para atestar a autoria de um documento e atraves da 
identifica§ao de sua assinatura. Segundo SANTOS [7], "Autor do documento e a pessoa a 
quern se atribui a sua formacao, isto e, a quern se atribui a sua paternidade". O artigo 371, do 
Codigo de Processo Civil, diz: "Reputa-se autor do documento particular: I - aquele que o fez 
e o assinou; II - aquele, por conta de quern foi feito, estando assinado; III - aquele que, 
mandando compo-lo, nao o firmou, porque, conforme a experiencia comum, nao se costuma 
assinar, como livros comerciais e assentos domesticos". Quanto aos documentos publicos, 
reputa-se seu autor o oficial publico que os lavrou, embora todos os que os subscrevam 
tambem possam ser assim considerados [8]. 

Via de regra, salvo os documentos em que "nao se costuma assinar", a autoria do 
documento e provada pela assinatura do autor. 

Data de criacao 

Segundo o art. 370 do Codigo de Processo Civil, "a data do documento particular 
quando a seu respeito surgir duvida ou impugnacao entre os litigantes, provar-se-a por todos 
os meios de direito. Mas, em relacao a terceiros, considerar-se-a datado o documento 
particular: I - no dia em que foi registrado; II - desde a morte de algum dos signatarios; III - 
a partir da impossibilidade ffsica, que sobreveio a qualquer dos signatarios; IV - da sua 
apresentacao em reparticao publica ou em jufzo; V - do ato ou fato que estabele§a, de modo 
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certo, a anterioridade da formacao do documento". Em relacao aos documentos publicos, dada 
a fe piiblica de quern os lavrou, a data do documento publico e presumida verdadeira. 

Assinatura 

A assinatura e a forma mais comum de comprovacao da autoria de um documento. 
Ela e unica e exclusiva porque corresponde a escrita manual do signatario, podendo ainda ser 
submetida a pericia atraves de exame grafologico. 

3.3. REQUISITOS PARA EFICACIA DA PROVA DOCUMENTAL 

Um documento pode ser considerado um elemento de prova desde que atenda aos 
seguintes requisites basicos: autenticidade 2 , integridade 3 e tempestividade 4 . Esses requisites 
normalmente estao relacionados ao suporte ffsico a que pertence o documento e, desde que 
sejam adequadamente preenchidos, fornecem elementos suficientes para garantir eficacia 
juridica probateria. Esses elementos sao descritos com mais detalhes a seguir. 

Autenticidade 

Por autenticidade entende-se a certeza de que o documento provem do autor nele 
indicado. E autentico o documento quando verdadeiramente elaborado pelo autor nele 
declarado [7]. Em documentos escritos, na grande maioria das vezes, o que comprova a 
autoria e a aplicacao da assinatura no mesmo papel onde se encontram o restante das 
informacoes. 

Integridade 

A integridade e caracteristica daquilo que se apresenta ileso, intacto, mtegro. Um 
documento e considerado integro quando nao houve adulteracao do seu conteudo posterior a 
sua criacao. Segundo TRUJILLO [9], "o valor probaterio do documento - seja em que base 
material esteja "inscrito" - esta na dependencia de que esse suporte material deva ser 
indelevel, ou seja, que nao permita qualquer tipo de adultera§ao, deliqiiescencia ou 
cancelamento que de outra forma nao possa ser percebido". 



2 Codigo de Processo Civil, arts. 369, 371, 373, 374 

3 Codigo de Processo Civil, arts. 365, 375, 383-386 

4 Codigo de Processo Civil, art. 370 
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Tempestividade 

A palavra tempestividade e muito usada nos meios jurfdicos para designar "dentro 
do prazo" e segundo o Dicionario Houaiss da Lingua Portuguesa [10] quer dizer "qualidade 
ou caracteristica daquilo que ocorre no momento certo, oportuno". Assim, a tempestividade 
de um documento serve para comprovar que a data do fato representado e compatfvel com a 
idade do papel utilizado como suporte. Esse cuidado visa garantir que um documento nao 
tenha sido produzido para comprovacao de um fato anterior a ele, conforme cita THEODORO 
JUNIOR [11]: "pode surgir controversia nao sobre o teor das declaracoes de vontade contidas 
em um documento, mas apenas quanta a epoca em que foram manifestadas". 

3.4. DOCUMENTO ELETRONICO 

Pode-se definir um documento eletronico como sendo uma seqiiencia de bits, que 
traduzida por meio de um determinado programa de computador, e representativa de um fato 
[12]. O termo eletronico, segundo o "Novo Dicionario Aurelio da Lingua Portuguesa" [4], e 
um adjetivo que diz respeito a "parte da fisica dedicada ao estudo do comportamento de 
circuitos eletricos que contenham vdlvulas, semicondutores, transdutores, etc., ou a 
fabricagdo de tais circuitos". Portanto, os documentos eletronicos, nao sao em sua essentia 
eletronicos, porem dependem de maquinas eletronicas para serem visualizados. 

Considerando os documentos que sao criados e representados com o auxflio de um 
computador, seria mais apropriado denomina-los de documentos digitais, pois em ultima 
analise sao compostos de dfgitos binarios (bits). Porem, a fim de seguir a palavra de uso mais 
comum, nesse trabalho sera utilizado o termo "documento eletronico" para identificar as 
informacoes manipuladas, armazenadas e representadas com o uso de um computador. 

E importante salientar que segundo GIANNANTONIO [13], "distinguem-se 
documentos eletronicos stricto sensu (senso estrito), memorizados em forma digital e nao 
perceptfveis ao homem senao atraves do computador, e documentos eletronicos lato sensu 
(senso amplo), isto e, todos os documentos formados pelo computador mediante dispositivos 
de safda". Observe-se que nesse segundo tipo, os documentos nao existem em forma 
exclusivamente digital, como e o caso, de um documento produzido por uma impressora - 
apenas foram criados atraves do uso do computador. No contexto desse trabalho serao 
considerados os documentos eletronicos de senso estrito, ou seja, aqueles que se encontram 
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em forma digital, compostos por bits e perceptfveis somente atraves do uso de computador em 
conjunto com a utilizacao de um programa adequado (software). 

Segundo MARCACINI [14], "da mesma forma que os documentos ffsicos, o 
documento eletronico nao se resume em escritos: pode ser um texto escrito, como tambem 
pode ser um desenho, uma fotografia digitalizada, sons, videos, enfim, tudo que puder 
representar um fato e que esteja armazenado em um arquivo digital". 

Deve-se levar em conta tambem que um documento tradicional pode ter um ou 
mais originais e varias "copias". No meio eletronico, esse conceito nao se aplica, pois dado 
que a seqiiencia de bits que formam o documento pode ser reproduzida infinitas vezes, 
mantendo-se exatamente igual a matriz, nao e possfvel referir-se ao original, a copia ou 
numero de vias de um documento eletronico. Diante dessa situacao, a abordagem relacionada 
ao entendimento da eficacia probatoria dos documentos eletronicos tern que ser um pouco 
diversa daquela utilizada nos documentos tradicionais. Para que se possa entender melhor essa 
questao, varios conceitos relacionados aos documentos eletronicos, inclusive a utilizacao de 
certificados digitais, serao discutidos nos itens a seguir. 

3.5. PROPRIEDADES DOS DOCUMENTOS ELETRONICOS 

O documento tradicionalmente considerado nao mais se adapta a necessidade 
moderna de propiciar uma maior agilidade em relacao a circula§ao da informa§ao. E mister 
esclarecer e confrontar as caracteristicas dos documentos eletronicos que os tornam mais 
adequados para utilizacao na "sociedade da informa§ao" em que vivemos hoje. 

O entendimento dessas questoes permitira entender que, embora os requisitos para 
obtencao de eficacia probatoria dos documentos eletronicos sejam os mesmos dos 
documentos tradicionais (autenticidade, integridade e tempestividade), a forma de obte-los e 
comprova-los e diferente. 

Facilidade de disseminacao e dissociabilidade 

Como os documentos eletronicos nao estao presos a um suporte ffsico ao qual 
estao armazenados, os mesmos podem ser transmitidos de um local para outro com extrema 
facilidade. Pelo fato de estarem na forma digital, essa copia e, em todos os sentidos, identica 
ao original. Independentemente de onde o arquivo venha a ser armazenado e de quantas 
transferencias sucessivas tenham sido feitas, pode-se dizer que todos os documentos 
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transmitidos sao perfeitamente identicos. Por fim, os dados que compoem um documento 
eletronico sao facilmente dissociaveis de seu suporte que e a mfdia eletronica. 

Alterabilidade 

Os documentos eletronicos, uma vez que em ultima analise podem ser 
considerados arquivos de um computador ou de qualquer outra mfdia de armazenamento, 
podem ser alterados sem qualquer restricao. Essa e uma caracteristica de sua propria 
existencia e que garante sua grande flexibilidade. 

Deve-se ressaltar que nao esta sendo levada em consideracao a utilizacao de 
mfdias que nao permitem a regravacao dos dados apos a sua gravacao (CD-ROM, por 
exemplo), nem de mecanismos de protecao como a utilizacao de senhas. Alem do conteudo 
do documento, e possfvel alterar atributos do arquivo, como por exemplo, a data e hora de sua 
criacao/alteracao. Mais importante ainda e perceber que a alteracao de um documento pode 
nao deixar vestfgios, de modo que nao ha maneira de identificar o original daquele que foi 
alterado. 

Facilidade de processamento 

A facilidade de processamento refere-se a capacidade inerente aos documentos 
eletronicos de poderem ser facilmente manipulaveis, ou seja, existem inumeras possibilidades 
de utilizacao dos dados, como consultas, cruzamento de dados, comparacoes, todas realizadas 
eletronicamente atraves da utilizacao de programas apropriados. 

Economia de espaco e facilidade de preservacao 

E inegavel que as informa§oes armazenadas de forma eletronica ocupam 
infinitamente menos espaco do que aquelas armazenadas atraves de documentos tradicionais 
em papel. A titulo de exemplifica§ao, calcula-se que um processo com trinta e oito volumes, 
correspondente a 11.500 folhas de papel, pode ser convertido em um unico CD-ROM [15]. 
Alem desse fato, temos o DVD que pode armazenar aproximadamente 6,5 vezes o conteudo 
de um CD-ROM, nao mencionando a populariza§ao eminente de novas mfdias como o Blu- 
Ray (BD) com capacidade de 25 Gb (face simples) ou 50 Gb (face dupla) o que equivaleria a 
aproximadamente a capacidade de 79 CD-ROMs. Por fim, tomando-se as precau§oes 
necessarias, como verifica§ao periodica do estado da mfdia e copias de seguran§a, a 
conserva§ao de uma mfdia eletronica e mais facil, barata e pratica do que a conserva§ao de 
volumes de papel. 
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3.6. VALIDADE DOS DOCUMENTOS ELETRONICOS 



Diante das caracterfsticas anteriormente apresentadas, neste topico serao 
abordados os requisites para obtencao da validade juridica dos documentos eletronicos, as 
tentativas iniciais de obter a equivalencia do documento eletronico com o documento 
tradicional e a solucao tecnologica aceita hoje em dia com a utilizacao das assinaturas digitais, 
baseadas na tecnica de criptografia assimetrica. Essa tecnica, em conjunto com a emissao de 
certificados digitais, permite a aposicao e a verificacao eletronica da assinatura em um 
documento digital. 

3.6.1. Requisitos para obtencao da validade juridica dos documentos 
eletronicos 

Apesar das peculiaridades de um documento eletronico, percebe-se que o mesmo 
apenas tera validade juridica se atender as mesmas exigencias demandadas do documento 
ffsico, ou seja, se for possfvel a verificacao da autoria, da integridade e da data de sua criacao. 

Diante das peculiaridades de um documento eletronico, segundo SANTOLIM 
[16], o documento eletronico deve possuir as seguintes caracterfsticas: 

1. Permitir livremente a insercao dos dados ou da descricao dos fatos que se 
quer registrar; 

2. Permitir a identificacao das partes intervenientes, de modo inequfvoco, a 
partir de sinal ou sinais particulares; 

3. Nao poder ser alterado sem deixar vestfgios localizaveis, ao menos atraves 
de procedimentos tecnicos sofisticados, assim como ocorre com o suporte 
tradicional em papel. 

A dissociabilidade de um documento eletronico em relacao ao seu suporte, tern 
como conseqiiencia principal a facilidade de alteracao do seu conteudo. Como nao ha 
distin§ao entre original e copia, a altera§ao de um documento digital pode ser diffcil, ou ate 
mesmo impossivel de ser detectada. Assim, os elementos de valida§ao devem estar vinculados 
ao conteudo, e nao ao suporte, como ocorre no documento ffsico, considerando que neste 
ultimo ha a inseparabilidade entre conteudo e suporte, o que nao ocorre no primeiro. 

Com o impacto trazido, por exemplo, pelo comercio eletronico na sociedade atual, 
e indispensavel o adequado reconhecimento legal dos acordos e contratos efetuados 
eletronicamente, de maneira que seja possfvel utilizar os documentos eletronicos digitais 
como meio de prova, perfeitamente valido, em eventual litfgio judicial [17]. 
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3.6.2. Tentativas de obtengao de um documento eletronico imputavel 

Uma vez descritos os requisites essenciais para a obtencao de validade juridica dos 
documentos eletronicos, e importante tomar conhecimento de algumas ideias iniciais que 
procuraram atingir esse objetivo, mesmo aquelas que nao obtiveram pleno exito. 

Inicialmente pensou-se na utilizacao de mfdias eletronicas nao regravaveis (do tipo 
WORM - Write Once Read Many), como suporte ffsico aos documentos eletronicos de 
maneira que os mesmos se tornassem indeleveis, que nao pudessem ser alterados ou apagados 
(o tipo mais comum desse tipo de midia e o CD-R ou CD gravavel). Esse tipo de rnfdia nao 
permite a alteracao dos dados uma vez gravados e isso seria uma forma de garantir a 
integridade do conteudo gravado. Entretanto, nao ha uma forma pratica de comprovar a 
autenticidade dos documentos gravados e a propria evolucao da tecnologia encarregou-se de 
encerrar a ideia. Hoje um CD-R permite a gravacao de dados em sessoes (ISO/IEC 13490), 
onde apenas uma sessao pode estar ativa por vez, o que possibilitaria a substituicao ou 
modificacao de dados apos a gravacao inicial, atraves da criacao e ativacao de uma nova 
sessao. 

Para resolver a questao da autenticidade, surgiu a ideia da assinatura digitalizada. 
A assinatura digitalizada e obtida com a utilizacao de um "scanner" que cria uma imagem da 
assinatura (digitalizacao), posteriormente salva em um arquivo apropriado. Esse processo e 
analogo a uma copia reprografica que pode ser reproduzida infinitas vezes, com o agravante 
de que a assinatura digitalizada pode ser facilmente copiada e afixada em qualquer 
documento. Conclui-se que a assinatura digitalizada nao tern carater probatorio, nao sendo 
possfvel a sua equipara§ao com a assinatura tradicional aposta em papel. Entretanto, e 
oportuno mencionar esse tipo de assinatura em contraste com as assinaturas eletronicas, em 
especial a assinatura digital, de nome parecido mas utiliza§ao e possibilidades totalmente 
distintas. 

A utiliza§ao de senhas ou PIN (Personal Identification Number) - um conjunto de 
quatro ou mais dfgitos - muito comum nos caixas eletronicos e no comercio eletronico via 
Internet, tambem nao fornece todos os elementos necessarios para a cria§ao de um documento 
eletronico imputavel. Embora a senha ou PIN sejam pessoais, nem sempre sao de 
conhecimento exclusivo do usuario, uma vez que tern que ser conferidos atraves de um 
sistema qualquer de verifica§ao ou ate mesmo podem ser obtidos por meios fraudulentos. A 
contraparte de uma negocia§ao, um banco por exemplo, possui todas as informa§oes 
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necessarias para gerar um registro que simule qualquer operacao, exatamente como seria feito 
caso tivesse sido realizada por um usuario, atraves do uso de sua senha pessoal. 

O uso da identificacao biometrica, que baseia-se nas caracteristicas fisicas e 
comportamentais do ser humano, foi tambem uma possibilidade estudada. Essas 
caracteristicas permitem que uma determinada pessoa seja identificada unicamente, atraves da 
utilizacao de tracos pessoais unicos de cada pessoa (a impressao digital, o desenho da iris, o 
timbre da voz, entre outros) [18]. A firma biometrica seria exclusiva e reconhecrvel, podendo 
ser imputavel a uma e somente uma determinada pessoa. O que se verifica na pratica e a 
dificuldade de integracao de uma firma biometrica com os requisitos essenciais de uma 
assinatura. A firma biometrica pode suprir o requisito da identificacao da autoria e em 
conjunto com um suporte indelevel poderia tambem fornecer o requisito da integridade. 
Porem, uma vez aposta em um documento eletronico, nada impediria a sua reusabilidade uma 
vez que nao apresenta nenhum vinculo direto com o conteudo de um documento. Na pratica, a 
identificacao biometrica fornece um metodo de autenticacao importante, mas deve ser usada 
em conjunto com outras tecnicas que veremos adiante, para garantir o requisito de integridade 
de um documento eletronico. 

3.6.3. A utilizagao de criptografia e certificados digitals 

A descoberta da criptografia de chaves publicas [19] e posterior criacao do 
algoritmo para assinatura digital denominado RSA [20], permitiu uma forma de garantir a 
autenticidade e integridade de um documento eletronico. Um algoritmo de assinatura digital 
permite que uma pequena quantidade de dados sejam criados e anexados ao documento 
original utilizando-se uma chave secreta (senha). Atraves de uma outra chave, denominada de 
chave piiblica, e possfvel verificar se a assinatura realmente foi gerada com o uso da chave 
privada correspondente. Como a assinatura esta intrinsecamente relacionada ao documento 
assinado, qualquer alteracao no mesmo sera indicada pela invalidacao da assinatura 
garantindo o requisito de integridade. 

Como as chaves publica e privada sao geradas aos pares e estao matematicamente 
relacionadas, a verificacao de uma assinatura feita com a chave privada e realizada atraves de 
sua correspondente chave publica, garantindo- se o requisito de autenticidade (autoria), uma 
vez que somente o detentor da chave privada poderia ter assinado o documento em questao. 
Para garantir que uma determinada chave publica pertenca realmente a uma determinada 
pessoa, foram criados os certificados digitais. Um certificado digital nada mais e do que um 
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arquivo que contem um vinculo entre uma chave publica e a identifica§ao de uma pessoa ou 
entidade garantidos (assinados) por uma autoridade competente (denominada de Autoridade 
Certificadora - AC). 0 uso das assinaturas digitals, dos certificados digitais e de uma infra- 
estrutura apropriada de chaves publicas, possibilita um metodo de garantir tecnicamente os 
pre-requisitos para que um documento possa ser juridicamente considerado. 

Os proximos capftulos apresentam uma introdu§ao a criptografia e um 
detalhamento maior a respeito das assinaturas digitais, explorando conceitos necessarios para 
que se possa analisar as questoes tecnicas e legais relacionadas a validade de um documento 
eletronico. 
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4. CRIPTOGRAFIA 



4.1. INTRODUQAO 

Para avancar na analise da validade juridica do documento digital, torna-se 
necessaria uma introducao aos conceitos basicos de criptografia, cujas tecnicas sao 
primordiais para fornecer ao documento digital os elementos capazes de lhe atribuir validade 
juridica. 

A palavra criptografia vem do trances "cryptographic" que e oriunda da juncao 
das palavras gregas "kriptos" (escondido, oculto, secreto) e "grdphein" (escrever, descrever) 
[21]. Assim, a criptografia pode ser definida como a ciencia e arte de transformar uma 
mensagem escrita, clara, em outra tambem escrita e legfvel, cifrada, inteligfvel para outrem 
que nao o destinatario, conhecedor da convencao empregada na cifragem [22]. 

Na criptografia, o texto inicial, legfvel para todos, e denominado texto em claro 
(do ingles "plaintext"). O processo de codificacao de um texto em claro e denominado 
cifragem, e o texto codificado recebe o nome de texto cifrado (do ingles "cyphertext"). A 
recuperacao do texto inicial recebe o nome de decifragem. Com a utilizacao dos 
computadores, o que e cifrado sao arquivos que contem dados digitais (bits), de forma que 
nao somente textos, mas arquivos contendo qualquer tipo de informacao (fotos, sons, videos, 
planilhas, etc) podem ser cifrados utilizando a mesma tecnica. Tambem sao muito utilizados 
os termos "criptografar" e "descriptografar" ou "decriptar" como sinonimo de cifrar e decifrar 
respectivamente. Entretanto, cabe observar, que embora o termo "criptografar" exista em 
qualquer dicionario da lingua portuguesa, o seu correspondente "descriptografar" e um 
verbete inexistente. Interessante observar tambem que o termo "decriptar" existe no 
dicionario Aurelio [4] como antonimo de "criptografar" e nao existe no novo dicionario 
Houaiss [10]. 

A utilizacao da criptografia existe desde a Antiguidade e, segundo KAHN [23], 
uma inscricao de hieroglifos fora do padrao datada de 1.900 A.C. e tida como o primeiro 
exemplo escrito de seu uso. Nessa epoca, as cifras hebraicas foram as que ficaram mais 
conhecidas (600 - 500 A.C). Essas cifras eram realizadas atraves de uma substitui§ao 
monoalfabetica e assim esses metodos criptograficos eram baseados no segredo dos 
algoritmos utilizados. Um simples estudo estatfstico da Kngua utilizada era suficiente para 
decifrar o texto original [24]. Somente com o surgimento do computador eletronico, logo 
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apos a 2 a Guerra Mundial, que a pesquisa em criptografia evoluiu qualitativamente e passou- 
se a utilizar complexos calculos matematicos. Hoje, os algoritmos modernos sao todos 
publicamente conhecidos e baseiam-se no segredo da chave e nao do proprio algoritmo. 

Existem duas formas de utilizacao de criptografia com o uso de chaves: a 
criptografia convencional ou simetrica e a criptografia assimetrica ou de chaves publicas. O 
primeiro utiliza uma unica chave para cifrar e decifrar a mensagem. Assim, para garantir o 
sigilo da informacao, apenas o emissor e o receptor devem conhecer a chave. O problema 
desse modelo reside exatamente nessa questao: a chave utilizada para cifrar a mensagem deve 
ser compartilhada com todos os que precisam ler a mensagem, o que cria dificuldades na 
distribuicao da chave e na manutencao de seu sigilo. 

Ja a criptografia assimetrica, de especial relevancia para o correto entendimento do 
funcionamento da assinatura digital, utiliza um par de chaves diferentes, mas que se 
relacionam matematicamente, sendo uma a chave publica (utilizada para cifrar a mensagem) e 
a outra a chave privada (utilizada para decifrar a mensagem). O texto cifrado por uma chave 
publica so pode ser decifrado pela chave privada correspondente. A chave privada, portanto, 
deve ser de conhecimento apenas de seu titular, enquanto a chave publica deve ser conhecida 
por todos aqueles que queiram enviar uma mensagem codificada ao primeiro. 

O processo inverso e utilizado na assinatura digital: o emissor, com sua chave 
privada, assina o documento e a conferencia da assinatura pode ser feita por todos aqueles que 
possuem a chave publica correspondente. Essa operacao sera vista de forma mais detalhada 
no tapico relacionado a assinatura digital. 

4.2. CRIPTOGRAFIA SIMETRICA 

Na criptografia simetrica utiliza-se a mesma chave tanto para cifragem quanta para 
decifragem de uma mensagem ou documento (Figura 4.1). A cifragem e realizada atraves de 
operacoes de substituicao, onde cada elemento (um bit, por exemplo) e mapeado em outro 
elemento, e transposicoes, nos quais os elementos sao meramente trocados de posicao. 

A utilizacao de um algoritmo simetrico requer que a cifra seja forte o suficiente 
para que um terceiro seja incapaz de decifrar uma mensagem criptografada ou descobrir a 
chave. A tentativa de decifrar um texto cifrado a partir do conhecimento de caracteristicas do 
texto original, ou ate mesmo pares de textos claros e cifrados, e denominada de criptoanalise. 
Ja a tentativa de utilizar todas as chaves possfveis em um texto cifrado ate que o texto original 
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seja obtido e denominada de ataque de forca bruta. Em media, metade do numero de chaves 
disponfveis deve ser testado para se obter sucesso [25]. 
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Figura 4.1 - Esquema simplificado de criptografia simetrica 

O numero de chaves possfveis para um algoritmo com chave de "n" bits e 
correspondente a 2 n e na media deve-se testar 2 11 " 1 alternativas. Um algoritmo com tamanho de 
chave de 56 bits teria um espa§o amostral de mais de 72 quatrilhoes de possibilidades para a 
escolha da chave. A Tabela 4.1 mostra o tempo necessario para testar as chaves de acordo 
com o numero medio de chaves possfveis, assumindo um computador que seja capaz de testar 
1 milhao de chaves por segundo (10 6 testes/s) e 1 milhao de chaves por microssegundo (10 6 



testes/us) [25]. 



Tam chave (bits) 


Chaves possiveis/2 


Tempo 10 6 testes/s 


TempolO 6 testes/ps 


32 


2 31 


35,8 minutos 


2,15 milisegundos 


56 


2 55 


1142 anos 


10,01 horas 


128 


2 127 


5,4 x 10 24 anos 


5,4 x 10 18 anos 


168 


2 167 


5,9 x 10 36 anos 


5,9 x 10 30 anos 



Tabela 4.1 - Tempo medio para teste de chaves com n bits 



Um esquema de criptografia e dito computacionalmente seguro quando os dois 
criterios abaixo sao satisfeitos [25]: 

• O custo de "quebrar" a cifra excede o valor da informa§ao criptografada; 

• O tempo necessario para "quebrar" a cifra ultrapassa o tempo de vida litil 
da informa§ao. 

O DES {Data Encryption Standard), desenvolvido a partir de uma proposta da 
IBM no meio da decada de 70, e um dos algoritmos simetricos mais conhecidos e utilizados. 
Utiliza-se de uma chave de 56 bits e tornou-se um padrao pelo National Institute of Standards 
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and Technology (NIST), sendo largamente adotado, ate que ha alguns anos, o seu uso foi 
desencorajado devido ao sucesso de ataques de forca bruta pela tecnologia atualmente 
disponfvel. A fim de preservar o grande investimento em software e hardware feito para o 
DES, foi proposta uma variante, denominada 3DES, onde sao utilizadas 3 chaves em uma 
operacao sucessiva de cifragem, decifragem e cifragem, cada qual com uma chave diferente. 
O 3DES tern um comprimento de chave efetivo de 168 bits, o que torna praticamente inviavel 
um ataque de forca bruta. O 3DES mantem a compatibilidade com o DES, garantindo que nao 
ha metodo de criptoanalise disponfvel, mas tern como principal desvantagem ser mais lento se 
comparado com outros algoritmos atuais, principalmente para implementacao em software. 

Em razao dessas desvantagens, o NIST lancou em 1997 um concurso para 
selecionar um novo algoritmo para ser adotado como o AES - Advanced Encryption Standard, 
em substituicao ao DES (e tambem ao 3DES) [26]. Encerrado o concurso em outubro de 2000 
e publicado como padrao em novembro de 2001 (FIPS 197), o vencedor foi o algoritmo 
Rijndael 5 , criado por dois recem doutores belgas, Joan Daemen e Vincent Rijmen. O Rijndael, 
assim como os outros finalistas (MARS, RC6, Twofish e o Serpent), sao algoritmos com 
bloco de 128 bits e chaves de 128, 192 e 256 bits. Todos os algoritmos finalistas foram 
considerados seguros - o Rijndael seria o mais apropriado por motivos de eficiencia e 
facilidade de implementacao em equipamentos de recursos limitados (pouca memoria e poder 
de processamento). 

De modo geral, os algoritmos simetricos sao executados muito mais rapidamente 
que os assimetricos. Na pratica, para solucionar a questao da troca de chaves simetricas de 
forma segura, muitas vezes sao utilizados em conjunto. Por exemplo, um algoritmo de chave 
publica e utilizado para cifrar uma chave gerada randomicamente e esta chave e usada para 
cifrar uma mensagem com um algoritmo simetrico. Esse esquema e muito comum ao se 
acessar uma pagina "segura" na internet, ou seja, onde as informacoes trocadas entre o 
navegador do cliente e o servidor sao criptografadas atraves do protocolo SSL {Secure Sockets 
Layer). 

4.3. CRIPTOGRAFIA ASSIMETRICA 

A criptografia assimetrica, ao contrario da simetrica, utiliza um par de chaves: uma 
chave publica, que e utiliza para cifrar os dados, e uma correspondente chave privada 

5 Veja o anuncio do vencedor em http://www.nist.gov/public_affairs/releases/g00-176.htm 
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(secreta) para decifragem. Qualquer pessoa que tenha conhecimento da chave publica pode 
criptografar uma mensagem que somente o detentor da chave privada pode ler. Por isso, nos 
algoritmos assimetricos, as chaves sao sempre geradas aos pares. 

E computacionalmente inviavel deduzir a chave privada a partir do conhecimento 
da chave publica. O conhecimento da chave publica permite a realizacao da operacao de 
cifragem de uma mensagem, mas nao permite que seja realizada a operacao inversa de 
decifragem. A Figura 4.2 mostra um exemplo simples de cifragem e decifragem com a 
utiliza§ao das chaves publica e privada respectivamente. 

O modo de operacao da criptografia assimetrica resolve uma grande questao da 
criptografia de chave simetrica: permite que seja solucionado o problema de sigilo na troca de 
chaves e a tambem sua distribuicao, uma vez que a chave utilizada para cifragem e a chave 
publica. Esse modo de operacao nos permite obter a caracteristica de confidencialidade 
fornecida pelos algoritmos simetricos. Entretanto, a criptografia simetrica pode ser utilizada 
de uma forma diferente, utilizando-se a chave privada para cifrar e a chave publica para 
decifrar. Isso e especialmente util, pois garantindo-se o sigilo da chave privada, e possfvel 
termos um alto grau de certeza do autor da mensagem, pois o mesmo seria o detentor da 
chave privada. E essa caracteristica que torna possfvel obter o requisito de autenticidade para 
um documento eletronico. 
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Figura 4.2 - Exemplo de criptografia assimetrica 



O conceito de criptografia de chave publica foi apresentado pela primeira vez por 
Whitfield Diffie e Martin Hellman em 1976 no artigo denominado "New Directions in 
Cryptography" [19]. Esse trabalho revolucionou a pesquisa em criptografia, descrevendo os 
conceitos basicos da criptografia assimetrica e fornecendo um exemplo de algoritmo de troca 
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de chaves. Entretanto, embora o trabalho citasse a utilizacao de chaves publicas em 
assinaturas digitais, somente em 1977 tres pesquisadores do MIT - Rivest, Shamir, Adleman 
implementaram um modelo matematico que foi publicado em 1978, e ficou mundialmente 
conhecido como algoritmo RSA (em referenda as iniciais dos nomes de seus autores), sendo 
a base para a maioria das aplicacoes baseadas em criptografia assimetrica nos dias de hoje 
[20]. 

No algoritmo RSA, a chave publica e o produto de dois numeros primos grandes 
(pelo menos centenas de bits), selecionados aleatoriamente e a chave secreta e composta pelos 
proprios numeros primos. O algoritmo cifra usando o produto dos numeros primos e decifra 
utilizando os seus fatores. A seguranca baseia-se na grande dificuldade matematica de se 
encontrar dois fatores primos de um numero grande e assim inferir a chave privada a partir do 
conhecimento da chave piiblica. Nao ha metodo conhecido de fatoracao que seja eficiente, a 
nao ser verificando cada possibilidade individualmente [27]. 

O nfvel de seguranca dos algoritmos assimetricos, em relacao a um ataque de forca 
bruta, tambem e diretamente relacionado ao tamanho das chaves. Entretanto, a criptografia 
utilizada no algoritmo RSA por exemplo, pode usar somente um subconjunto de todos os 
possfveis valores para uma chave de determinado tamanho. Assim pode-se inferir que o nfvel 
de seguranca de um algoritmo de 128 bits na criptografia simetrica e maior que um algoritmo 
com chave de mesmo tamanho na criptografia de chave publica. Isso explica o fato de uma 
chave de 512 bits utilizada na criptografia assimetrica ser equivalente a uma chave de 64 bits 
na criptografia simetrica em relacao ao esforco necessario ao ataque de forca bruta (Tabela 
4.2). 



Criptografia Simetrica 


Criptografia Assimetrica 


56 bits 


384 bits 


64 bits 


512 bits 


80 bits 


768 bits 


112 bits 


1792 bits 


128 bits 


2304 bits 



Tabela 4.2 - Equivalencia de chaves em um ataque de for^a bruta [28] 



Embora a fatoracao de numeros grandes seja um processo demorado e diffcil, com 
os rapidos avan§os na teoria dos numeros e o crescente poder computacional alguns sucessos 
tern sido alcan§ados. Em 1977, Ron Rivest, estimava que a fatora§ao de um numero de 125 
dfgitos levaria 40 quatrilhoes de anos. Em 1994, uma chave RSA de 129 digitos foi fatorada 
em 8 meses, utilizando-se aproximadamente 5.000 MlPS/ano com a utiliza§ao de 1.600 
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computadores na Internet [31]. A Tabela 4.3 nos mostra o tempo estimado em MlPS/ano para 
fatorar determinados tamanhos de chave utilizadas em uma implementacao do algoritmo 
RSA. Um MlPS/ano equivale a um computador executando 1 milhao de instrucoes por 
segundo durante um ano. Atualmente, recomenda-se a utilizacao de chaves de no mmimo 
1.024 bits, sempre levando-se em consideracao o tempo util da informacao e a viabilidade de 
implementacao de chaves do maior tamanho possivel. 



Tarn da chave 


MlPS/ano para fatoracao 


512 bits 


30.000 


768 bits 


200.000.000 


1024 bits 


300.000.000.000 


2048 bits 


300.000.000.000.000.000.000 



Tabela 4.3 - Tempo estimado para fatoracao de uma chave [28] 



Na criptografia assimetrica a autenticidade e obtida com a criptografia da 
mensagem a ser enviada com a chave privada do emissor e a confidencialidade e obtida com 
posterior criptografia utilizando-se a chave publica do receptor. O receptor decifra a 
mensagem utilizando a sua chave privada (requisito confidencialidade) e depois utiliza a 
chave publica do emissor para obter a comprovacao da autoria (requisito autenticidade). 

Em smtese, em relacao a assinatura de um documento eletronico, a tecnica de 
criptografia de chave publica permite que um emissor possa enviar dados "assinados" para um 
destinatario. Todos aqueles que possuem acesso a correspondente chave publica do emissor 
(que faz par com a chave privada utilizada na assinatura) podem verificar que o emitente e 
realmente o autor da assinatura aposta no documento. 
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5. ASSINATURA DIGITAL 



5.1. INTRODUQAO 

Conforme visto no capftulo anterior, a assinatura digital e o instrumento que 
fornece ao documento digital garantias, de tal modo que este possa ter forca probante, ou seja, 
e um elemento de credibilidade do documento digital, que permite a conferencia da autoria e 
da integridade do mesmo. 

Deve-se observar que a assinatura digital e uma modalidade de assinatura 
eletronica e nao deve ser confundida com outros tipos de assinatura eletronica, como a 
utilizacao de senhas, numeros PIN, autenticacao biometrica ou quaisquer outros mecanismos 
que tenham o proposito de identificacao, sem a utilizacao da criptografia assimetrica. A 
assinatura digital esta relacionada diretamente ao uso de um par de chaves (chave publica e 
chave privada), normalmente associados a certificados digitais. 
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Figura 5.1 - Criando e verificando uma assinatura digital 



A partir de um documento eletronico e um software que permita a assinatura 
digital, utiliza-se um algoritmo de "hashing" onde e calculado um "resumo" do documento. 
Um algoritmo de "hashing" e uma fun§ao que gera uma safda de tamanho fixo (algumas 
dezenas de bytes) independentemente do tamanho da entrada. Com a chave privada do 
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emissor, esse "resumo" e criptografado e anexado ao documento eletronico original tornando 
o mesmo um documento assinado digitalmente. O destinatario do documento, utilizando-se de 
software apropriado (que pode ate pertencer ao sistema operacional) tambem efetua o calculo 
do "resumo" do documento e o compara com a decifragem do hash anexado. Se os "resumos" 
nao forem iguais, isso significa que o documento foi alterado apos a sua assinatura ou a 
assinatura nao foi gerada com a chave privada do pretenso emissor (Figura 5.1). 

Cabe observar que a assinatura foi feita somente para o "resumo" e nao para o 
documento todo. As duas razoes principais sao a necessidade de leitura do documento por 
qualquer pessoa (considerando que o documento nao seja sigiloso) e a eficiencia em razao do 
"resumo" ser uma pequena fracao fixa de bits - normalmente 128 bits no algoritmo MD5 e 
160 bits no caso de um dos algoritmos mais utilizados atualmente (SHA1). 

5.2. FUNQOES DE HASHING 

Uma funcao "hash", ou resumo, e uma funcao que tern como entrada uma 
mensagem de tamanho variavel e como safda um resultado de tamanho fixo (normalmente de 
128 a 512 bits). Uma funcao resumo pode ser usada para varias finalidades (encriptacao, 
autenticacao, classificacao), mas um de seus usos mais tfpicos e para assinatura digital de 
documentos, arquivos e mensagens [29]. 

Para ter utilidade no processo de assinatura digital, a funcao de "hashing" deve ter 
as seguintes caracteristicas [32]: 

• ser relativamente facil se computar o "hash" de uma mensagem permitindo 
implementacoes praticas em software e hardware; 

• deve ser impraticavel se determinar a entrada a partir de seu "hash" (funcao 
unfvoca); 

• deve ser impraticavel se determinar uma outra entrada que resulte no mesmo 
"hash" de uma dada entrada (resistencia a colisao); 

• os valores de "hash" possfveis sao estatisticamente equiprovaveis; 

• A safda da funcao "hash" deve possuir um tamanho fixo. 

As funcoes de "hashing" mais utilizadas atualmente sao a SHA1 (Secure Hash 
Algorithm - 1) e a MD5 (Message Digest - 5), ambas baseadas no algoritmo MD4, criado 
por Ron Rivest em 1990. Apesar de possuir um algoritmo muito eficaz e otimizado para 
plataformas 32 bits, a funcao MD4 foi rapidamente abandonada em razao da descoberta de 
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vulnerabilidades que permitiam explorar ataques de colisao no algoritmo, tornando o seu uso 
nao apropriado para fins criptograficos [33]. 

Em 1991, a partir de melhorias no algoritmo MD4 incluindo novos passos e 
funcoes no algoritmo, foi lancado o seu sucessor denominado MD5. O MD5 gera um resumo 
de 128 bits, foi lancado como um Internet Standard (RFC 1321) e e largamente utilizado em 
aplicacoes de seguranca e checagem da integridade de arquivos. Entre outras caracteristicas, o 
algoritmo MD5 tern a propriedade de que cada bit do "resumo" ser funcao de cada bit na 
mensagem de entrada, o que aumenta o "efeito avalanche" da funcao - a mudanca de um 
unico bit, muda bastante o "hash" obtido na saida. A dificuldade de se encontrar duas 
mensagens com o mesmo "resumo" e da ordem de 2 64 operacoes, enquanto que a 

1 28 

possibilidade de encontrar uma mensagem dado o seu "resumo' 'eder° [34]. 

Em 1993, o National Institute of Standards and Technology (NIST) propos o 
algoritmo SHA (Secure Hash Algorithm) sendo publicado como padrao FIPS 180 em 1993 e 
revisado no FIPS 180-1 em 1995 e conhecido desde entao como SHA-1. O algoritmo SHA 
(tambem denominado SHAO) e o SHA1 foram tambem baseados na funcao MD4 e ambos 
tern como principal vantagem a producao de um "hash" de 160 bits, tornando a dificuldade de 
se encontrar dois resumos iguais para a mesma mensagem da ordem de 2 [25] . 

Em 1996, Hans Dobbertin anunciou ter encontrado uma colisao na funcao de 
compressao do MD5 [35] e em 1998 pesquisadores franceses encontraram colisoes em 
ataques ao SHAO [36], o que fez com que os criptografos recomendassem a utilizacao do 
SHA1 em lugar do MD5. Cabe ressaltar que a descoberta dessas colisoes nao necessariamente 
abre caminho para um ataque pratico aos algoritmos, nem comprometem as aplicacoes que 
utilizam "hashes" criptograficos - como a utilizacao de assinaturas digitais - uma vez que nao 
e possivel forjar uma assinatura a partir de um documento pre-existente. 

Mesmo assim, em 2001 o NIST propos uma revisao do padrao FIPS 180-1, 
conhecido como FIPS 180-2 [37] e incluiu tres novos algoritmos conhecidos genericamente 
como SHA2. Os algoritmos foram nomeados pelo tamanho de seu "hash" em bits: SHA-256, 
SHA-384 E SHA-512. Os algoritmos SHA-256 e SHA-512 sao funcoes de "hashing" novas 
calculadas com "palavras" ("word size") de 32 e 64 bits respectivamente. Elas utilizam 
deslocamentos e somas diferentes, mas a estrutura original do SHAO foi mantida, diferindo 
apenas no numero de iteracoes. O algoritmo SHA-384 e apenas uma versao truncada do SHA- 
512, nao trazendo assim nenhuma vantagem em relacao ao desempenho. 
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As novas funcoes de "hashing" denominadas SHA2 nao foram avaliadas pelos 
criptografos da mesma forma que o algoritmo SHA1, mas como a estrutura e os detalhes dos 
algoritmos sao bastante semelhantes, todos devem ter uma resistencia a criptoanalise 
semelhante ao algoritmo SHA1, com dificuldade para se encontrar colisoes bastante 
melhorada (2 128 , 2 192 , 2 256 respectivamente para os algoritmos SHA-256, SHA-384, SHA- 
512). 

Apos a escolha do algoritmo Rijndael como o AES, Vincent Rijmen, um de seus 
autores em co-autoria com o brasileiro Paulo Barreto projetaram em 2000 um algoritmo de 
hash denominado WHIRLPOOL [38]. Esse algoritmo foi baseado em uma versao modificada 
do Square (um cifrador simetrico precursor do Rijndael) e utiliza operacoes matematicas 
complexas denominadas "substitution-permutation network" (SPN). O WHIRLPOOL gera 
"resumos" de 512 bits que sao tipicamente representados por 128 caracteres hexadecimais e 
foi tambem adotado pela ISO (International Organization for Standardization) e pelo IEC 
(International Electrotechnical Commission) (IEC) como padrao internacional ISO/IEC 
10118-3. 

5.3. ALGORITMOS DE ASSINATURA DIGITAL 

Os dois principais algoritmos de assinatura digital sao o RSA e o DSA, este ultimo 
transformado em um padrao denominado DSS (Digital Signature Standard). O DSA foi 
inicialmente proposto pelo NIST para ser utilizado como o padrao de assinatura digital 
especificado no FIPS 186 em 1991. A ultima revisao do DSS foi proposta em 2000 e utiliza 
SHA1 como funcao "hash" e foi definida como FIPS 186-2. Espera-se o anuncio do FIPS 
186-3 que possibilitara a utilizacao dos algoritmos de hashing SHA2 (SHA-256, SHA-384, 
SHA-512). 

5.3.1. Algoritmo RSA 

O RSA e um algoritmo que pode ser utilizado para cifragem, troca de chaves e 
assinatura digital. O funcionamento da assinatura de um documento utilizando o algoritmo 
RSA (Figura 5.2), segue os seguintes passos: 

1. O documento ou mensagem a ser assinada (M) e submetido a funcao "hash" 
(H), produzindo um "resumo" de tamanho fixo. 



38 



2. Esse "resumo" e cifrado (E) com a chave privada do emissor (KRE), formando 
a assinatura propriamente dita. 

3. A assinatura e anexada ao documento original e enviada ao receptor. 

4. O receptor, a partir da mensagem recebida, calcula o "resumo" do documento 
utilizando a mesma funcao hash (H) do emissor. 

5. A assinatura e decifrada (D) com a utilizacao da chave publica do emissor 
(KUE), obtendo-se o codigo hash que foi gerado pelo emissor 

6. O receptor compara entao o "resumo" que ele calculou com o "resumo" gerado 
pelo emissor da mensagem. Se ambos forem identicos, a assinatura digital e 
valida e o documento e tambem considerado mtegro. 




Figura 5.2 - Esquema de Assinatura RSA [25] 



5.3.2. Algoritmo DSA 

O DSA (Digital Signature Algorithm) e um algoritmo que utiliza o conceito de 
chave publica para gerar assinaturas digitais. O DSA utiliza como algoritmo de hashing o 
SHA e nao pode ser usado para cifragem de dados. O funcionamento da assinatura de um 
documento utilizando o algoritmo DSA (Figura 5.3), e exemplificado abaixo: 

1. O documento ou mensagem a ser assinada (M) e submetido a funcao hash 
(H), produzindo um "resumo" de tamanho fixo. 

2. E gerado um numero randomico (k), que em conjunto com o "resumo" (H), a 
chave privada do emissor (KRE) e a chave publica do receptor (KUR) sao 
utilizados como entrada para a fun§ao de assinatura (ASS) que gera dois 
numeros denominados (r) e (s). 

3. Os numeros (r) e (s), que podem ser considerados a assinatura propriamente 
dita, sao anexados ao documento original e enviados ao receptor. 
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4. O receptor, a partir da mensagem recebida, calcula o "resumo" do documento 
utilizando a mesma funcao hash (H) do emissor. 

5. O codigo hash (H) gerado mais os numeros (r) e (s) recebidos, a chave 
publica do emissor KUE e a chave publica do receptor KUR servem de 
entrada para a funcao de verificacao de assinatura (VAS), que ira gerar um 
componente (r), o qual sendo igual ao componente (r) recebido comprova a 
validade da assinatura. 




Emissor Receptor 

Figura 5.3 - Esquema de Assinatura DSS [25] 



4. CARACTERISTICAS ESSENCIAIS 

Segundo STALLINGS [25], utilizando-se qualquer tipo de assinatura digital, as 
guintes propriedades tern que ser satisfeitas: 

• Deve ser possfvel verificar o autor, data, e hora da assinatura. 

• Deve ser possfvel autenticar o conteudo na hora da assinatura. 

• A assinatura deve ser prover condicoes de ser analisada por uma terceira parte 
com a finalidade de resolver disputas. 

• O processo de producao, reconhecimento e verificacao de uma assinatura 
digital deve ser relativamente simples. 

• Nao deve ser possfvel forjar uma assinatura. 

• A assinatura efetuada deve ser baseada no conteudo da mensagem. 

• O armazenamento de uma assinatura digital deve ser possfvel. 

• Nao pode haver duas assinaturas identicas. 
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Um dos mais importantes desdobramentos da descoberta da criptografia de chave 
publica e a sua utilizacao em assinaturas digitais. Entretanto, resta ainda uma questao em 
relacao a utilizacao das chaves publicas: como confiar que determinada chave efetivamente 
pertence a um suposto emissor ? Para resolver esse problema, foi criada uma infra-estrutura 
denominada infra-estrutura de chaves publicas (ICP), ou seu acronimo em ingles PKI (Public 
Key Infrastructure), que permite que os usuarios sejam autenticados pelas suas respectivas 
chaves publicas atraves do uso de certificados digitais. 
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6. INFRA-ESTRUTURA DE CHAVES PUBLICAS 



As infra-estruturas de chaves publicas (ICP's) surgiram da necessidade de se 
autenticar as chaves publicas utilizadas para validacao de assinaturas digitais. Deste modo, 
busca-se excluir a fragilidade do uso de sistemas que utilizam par de chaves para assinar 
documentos digitais no que se refere a confirmacao de que aquelas chaves publicas que serao 
utilizadas para validar as assinaturas digitais sao de fato de determinado signatario. O 
certificado digital e o instrumento utilizado para a validacao das chaves publicas nestas 
estruturas, sendo ele proprio um documento digital, assinado digitalmente por uma autoridade 
certificadora, que contem diversos dados sobre o emissor e o titular do certificado, como 
nome do titular, identificacao do algoritmo de assinatura, assinatura digital do emissor, 
validade do certificado, alem da propria chave publica vinculada ao titular do certificado. 

O Brasil criou a sua infra-estrutura de chaves-publicas, ICP-Brasil, atraves da 
Medida Provisoria 2.220-2, de 24 de agosto de 2001. Esse capftulo aborda a criacao e 
estruturacao da ICP-Brasil, fornece os detalhes de um certificado digital e especifica as 
polfticas e tipos de certificado emitidos pelas Autoridades Certificadoras da ICP-Brasil. 

6.1. CERTIFICADOS DIGITAIS 

6.1.1. Conceito 

Um certificado digital nada mais e do que um documento eletronico que 
contem a chave publica de um usuario (ou entidade) e dados de identificacao do mesmo. Este 
documento deve ser assinado por uma autoridade confiavel, denominada Autoridade 
Certificadora (AC), atestando sua origem e integridade [39] 

Dessa forma, um certificado de chave publica (Public-Key Certificate - PKC) 
e um conjunto de dados que fornece um metodo confiavel para distribuicao de chave publica 
entre usuarios que utilizam servicos de criptografia e assinatura digital. Ao se obter a chave 
publica de um usuario em uma AC confiavel e verificando-se a assinatura contida no 
certificado, pode-se ter certeza de que a chave realmente pertence ao pretenso usuario, e que 
somente ele dispoe da correspondente chave secreta que o capacita a decifrar mensagens 
cifradas com aquela chave publica, ou assinar documentos com a correspondente chave 
privada. 
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O X.509 e o padrao mais utilizado para certificados digitais definido pelo ITU-T 
(International Telecommunication Union) com caracterfsticas que permite a inclusao de pares 
nome/valor no certificado padrao. Um certificado X.509, permite entre outras informacoes 
possfveis, os seguintes dados de identificacao (Figura 6.1): 



Version (Versao) 



Certificate Serial Number 
(Numero serial Jo certificado) 



Signature Algorithm Identifier 
(Identificador do algoritmo de assinatuia) 



Issuer Name (Nome do emissor) 



Validity (.not Before/Not After) 
(Validade - Nao antes/Nao depois) 



Subject Name (Nome do sujeito) 



Subject Public Key Information 
( Informacoes da c have publica do sujeito) 

Issuer Unique Identifier 
(Ideiitificador unico de emissor) 



Subject Unique Identifier 
(Identificadoi unico do sujeito) 



Extensions (Extensoes) 



Signature (Assinatura) 



Figura 6.1 - Estrutura de um certificado X.509 nas versoes 1, 2 e 3 [40] 

Versao: identifica a versao do certificado padrao X.509 (versao 1,2 ou 3). 

Numero serial do certificado: valor numerico unico atribufdo pela AC. 

Identificador de algoritmo de assinatura: informa o algoritmo e parametros utilizados 
para assinar o certificado. 

Nome do emissor: nome da AC que criou e assinou o certificado. 

Validade (Nao antes/Nao depois): periodo de validade do certificado, inicio e fim. 

Nome do sujeito: nome do usuario ou entidade a quern este certificado se refere. 

Informacoes sobre a chave publica do sujeito: a chave publica do sujeito ou entidade, junto 
com a identifica§ao do algoritmo com o qual esta chave pode ser usada. 

Identificador unico do emissor: elemento usado para identificar se a AC emissora e unica. 

Identificador unico do sujeito: elemento usado para identificar se o sujeito e unico. 



V.l 



T Todas as 
X versoes 



V.3 
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Extensoes: conjunto de uma ou mais informacoes de extensao. As extensoes foram 
implementadas na versao 3. 

Assinatura: elemento que protege todos os outros campos do certificado. Contem o codigo 
hash dos outros campos, cifrado com a chave privada da AC, e a identificacao do 
algoritmo de assinatura. 

6.1.2. Classes de Certificados 

As Autoridades Certificadoras (ACs) podem ser privadas (institucionais, por 
exemplo) comerciais ou ate mesmo emitir certificados gratuitos. A vantagem da utilizacao de 
uma AC comercial e a confianca depositada pelo grande numero de usuarios que a utilizam, 
alem do fato de que os certificados emitidos tern validade externa, fora do ambito de uma 
unica instituicao. 

A Verisign e uma das primeiras e mais conhecidas Autoridades Certificadoras 
comerciais no mundo e surgiu a partir da americana RSA Security em 1995. No Brasil, a 
Certisign e uma subsidiaria da Verisign, sendo hoje lfder na America Latina em certificacao 
digital. A Verisign instituiu o conceito de tres classes de certificados digitais [41]. 

Os Certificados Digitais Classe 1 sao emitidos apenas para indivfduos. Tais 
Certificados confirmam apenas a existencia de um endereco de correio eletronico, permitindo 
a troca de mensagens de forma segura. Em geral, os Certificados Classe 1 sao gratuitos, nao 
sendo utilizados para fins comerciais ou outros fins em que seja requerida a prova de 
identidade do assinante. 

Os Certificados Digitais Classe 2 podem ser fornecidos a uma pessoa ffsica ou um 
indivfduo pertencente a uma instituicao (pessoa jurfdica). Os Certificados de Classe 2 
confirmam que as informacoes de solicitacao fornecidas pelo assinante (correio eletronico, 
numero da identidade e endereco) nao entram em conflito com as informacoes de bancos de 
dados reconhecidos (no Brasil podemos citar a SERASA e o SPC) e no caso de uma pessoa 
jurfdica, uma autoridade de registro (AR) e quern autentica a identidade do usuario. Tern 
confiabilidade superior aos certificados classe 1, pois oferece garantias razoaveis da 
identidade de um assinante, porem nao a prova de erros. Permitem a realiza§ao de opera§oes 
de baixo risco, como correio eletronico, valida§ao de software e pequenas transa§oes onde se 
exige o mmimo de prova da identidade do assinante. 

Os Certificados Digitais Classe 3 tambem sao emitidos para pessoas ffsicas ou 
juridicas. Oferecem garantias importantes com rela§ao a identidade de assinantes individuais, 
pois exigem que compare§am pessoalmente perante uma AR de Classe 3 ou seu 
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representante. Em relacao a pessoa juridica, oferece garantias em relacao a existencia e ao 
nome de organizacoes dos setores publico ou privado e inclui a analise, por parte da AR 
pertinente de Classe 3, dos registros de autorizacao fornecidos pelo assinante ou por bancos 
de dados reconhecidos de terceiros. Como os Certificados Digitais Classe 3 exigem a 
comprovacao de documentos de forma presencial e uma analise mais rigida dos dados 
apresentados, estes sao os certificados de maior confiabilidade. Sao normalmente utilizados 
em transacoes de comercio eletronico, intercambio eletronico de dados (EDI), transacoes 
bancarias e servicos on-line onde e necessaria a comprovacao da identidade dos participantes. 

6.1.3. Fases de um certificado digital 

Um certificado digital passa por varias fases, desde o seu requerimento ate o fim 
de sua validade. A Autoridade Certificadora e responsavel pelo acompanhamento de todo o 
ciclo de vida dos certificados por ela emitidos. O ciclo de vida de um certificado e constitufdo 
das seguintes etapas [42] : 

a) Requerimento: e o pedido de expedicao do certificado, feito pela pessoa 
interessada junto a Autoridade Certificadora; 

b) Validacao do Requerimento: e funcao da Autoridade Certificadora garantir que 
o requerimento seja valido e que os dados do requerente estejam corretos; 

c) Emissao do Certificado: e o ato de reconhecimento do tftulo do certificado 
digital pelo requerente e sua emissao; 

d) Aceitacao do Certificado pelo requerente: apos emitido, o requerente deve 
retira-lo da Autoridade Certificadora e confirmar a validade do certificado emitido; 

e) Uso do Certificado: e o periodo em que o certificado pode ser utilizado, sendo 
seu uso de total responsabilidade do requerente; 

f) Suspensao do certificado digital: e o ato pelo qual o certificado se torna 
temporariamente invalido para opera§oes por algum motivo especificado pela 
Autoridade Certificadora, como por exemplo, o comprometimento da chave 
publica; 

g) Revoga§ao do certificado: e o processo pelo qual o certificado se torna 
definitivamente invalido pelo comprometimento da chave privada do titular ou, 
ainda, quando ocorrer algum fato que torne o certificado digital inseguro para uso. 
Um certificado suspenso ou revogado deve ser publicado na Lista de Certificados 
Revogados (LCR) e estar sempre dispomvel para consulta; 
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h) Terrnino da validade e renovacao do Certificado: o Certificado Digital tern um 
periodo pre-estabelecido de validade atribufdo pela Autoridade Certificadora. 
Normalmente, este periodo e de um a ties anos, dependendo do tipo e finalidade 
do certificado. 

6.1.4. Armazenamento de certificados e chaves 

Uma vez gerado um certificado digital e as suas correspondentes chaves 
(privada e publica), os mesmos devem ser apropriadamente armazenados. Como se tratam de 
arquivos digitals, a forma mais comum e a utilizacao de qualquer tipo de mfdia de 
armazenamento de dados, inclusive o disco rigido do computador. As mfdias mais comuns 
sao as seguintes: 

• Mfdia magnetica: Disquete 

• Mfdia optica: CD-ROM, CD-R, CD-Card (25 Mb) 

• "Smart card" ou cartao inteligente 

• "Token" de armazenamento 

• Chips de memoria diversos ("pen drive", "memory card") 

Em razao da importancia da guarda da chave privada, deve-se evitar armazena-la 
no disco rigido do computador, preferindo o uso de dispositivos moveis. Caso a chave seja 
armazenada no disco rigido (normalmente os certificados mais simples do tipo 1 permitem 
essa possibilidade) e imprescindfvel que a mesma seja protegida por criptografia ou utilize-se 
de um repositorio especffico, como o "Cryptographic Services Provider" da Microsoft, que 
mantem os dados em sigilo e permite a exportacao e importa§ao de certificados e chaves. 

Entretanto, os meios mais seguros de armazenamento sao os "smart cards", que 
possibilitam que o par de chaves seja gerado dentro do cartao nao permitindo a exportacao ou 
qualquer outro tipo de reproducao ou de copia da chave privada. Um "smart card" e um 
cartao semelhante a um cartao de credito que contem um microprocessador e uma unidade de 
memoria que armazenada e recupera dados atraves de varios mecanismos de seguranca 
(criptografia, restricao ao acesso indevido dos dados armazenados, inviolabilidade, etc). Deve 
ser utilizado com uma leitora de cartoes especffica e por isso tern um custo relativamente 
elevado. 

Os "tokens" tambem sao dispositivos de armazenamento importantes, muitos ja 
funcionando como um "smart card" com a vantagem de nao necessitar de uma leitora 
especffica de cartao, uma vez que sao alimentados e conectados diretamente a porta USB do 
computador. Os "smart cards" em conjunto com os "tokens" inteligentes sao dispositivos 
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ideais para o armazenamento e utilizacao dos certificados digitais de classe 3, uma vez que 
possuem mecanismos de seguranca para armazenamento e uso seguro da chave privada de um 
usuario ou entidade (Figura 6.2). 




Token USB Smart-Card CD-Card 

Figura 6.2 - Dispositivos de armazenamento removivel 



6.2. ICP-BRASIL 

A ICP-Brasil pode ser definida como um conjunto de tecnicas, praticas e 
procedimentos, a ser implementado pelas organiza§6es governamentais e privadas brasileiras 
com o objetivo de estabelecer os fundamentos tecnicos e metodologicos de um sistema de 
certifica§ao digital baseado em chave publica [43]. Tern como objetivo garantir a 
autenticidade, a integridade e a validade juridica de documentos em forma eletronica, das 
aplica§oes de suporte e das aplica§oes habilitadas que utilizem certificados digitais, bem 
como a realizacao de transa§oes eletronicas seguras [44]. 

6.2.1 . Estrutura Basica 

A Medida Provisoria 2.220-2, de 24 de agosto de 2001, criou a sua infra-estrutura 
de chaves-publicas - ICP-Brasil. Essa medida visa garantir a validade juridica aos 
documentos eletronicos assinados digitalmente com o uso dos certificados digitais emitidos 
por Autoridades Certificadoras credenciadas e homologadas na ICP-Brasil. 

A MP 2.200-2, embora sem definir a organiza§ao da ICP-Brasil, indicou 
antecipadamente os orgaos que a compoem, na seguinte ordem: um Comite Gestor 
(autoridade gestora das polfticas de certifica§ao), a Autoridade Certificadora Raiz (AC-Raiz), 
as Autoridades Certificadoras (ACs) e as Autoridades de Registro (ARs). Uma estrutura 
generica de representa§ao da ICP-Brasil pode ser vista na Figura 6.3. 
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Figura 6.3 - Estrutura generica da ICP-Brasil 

O Comite Gestor e o orgao que exerce a funcao de autoridade gestora das polfticas 
de certificacao da ICP-Brasil, vinculado a Casa Civil da Presidencia da Republica e composto 
por cinco representantes da sociedade civil integrantes de setores interessados, designados 
pelo Presidente da Republica, e representantes de diversos orgaos governamentais. A 
coordenacao do Comite Gestor da ICP-Brasil e exercida pelo representante da Casa Civil da 
Presidencia da Republica. 

A Autoridade Certificadora Raiz e a primeira autoridade da cadeia de certificacao, 
executora das Polfticas de Certificados e normas tecnicas e operacionais aprovadas pelo 
Comite Gestor da ICP-Brasil. O papel de Autoridade Certificadora Raiz da ICP-Brasil e 
desempenhado pelo ITI - Instituto Nacional de Tecnologia da Informacao, autarquia federal 
vinculada ao Ministerio da Ciencia e Tecnologia. A ela compete [44]: 

a) emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de 
nfvel imediatamente subseqiiente ao seu; 

b) gerenciar a lista de certificados emitidos, revogados e vencidos; 

c) executar atividades de fiscalizacao e auditoria das ACs e das ARs e dos 
prestadores de servico habilitados na ICP, em conformidade com as 
diretrizes e normas tecnicas estabelecidas pelo Comite Gestor da ICP- 
Brasil; 

d) exercer outras atribuicoes que lhe forem cometidas pela autoridade gestora 
de polfticas. 



As Autoridades Certificadoras (ACs) sao as entidades componentes da cadeia de 
certificacao responsaveis pela emissao de certificados digitais a usuarios finais. Situam-se em 
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nfvel inferior ao da AC-Raiz na cadeia de certificacao, ja que sao credenciadas por esta ultima 
para emitir certificados digitais vinculando pares de chaves criptograficas ao respectivo titular 
(usuario final). A essas autoridades certificadoras (as ACs), compete basicamente [44]: 

a) emitir, expedir, distribuir, revogar e gerenciar os certificados; 

b) colocar a disposicao dos usuarios listas de certificados revogados e outras 
informacoes pertinentes; 

c) manter registro de suas operacoes. 

As Autoridades de Registro (ARs) sao entidades operacionalmente vinculadas a 
uma determinada AC. Em outras palavras, cada AC opera atraves de uma AR, para efeito de 
realizar a tarefa de identificacao e cadastro dos usuarios finais. Alem de cadastrar e identificar 
usuarios, as ARs encaminham solicitacoes de certificados as ACs e devem manter registros de 
suas operacoes. Qualquer pessoa, de direito publico ou privado, desde que preenchendo os 
requisites gerais da polftica de certificacao da ICP-Brasil, pode requerer credenciamento 
como uma Autoridade Certificadora ou uma Autoridade de Registro. 

A decisao do Governo Brasileiro de implantar uma Infra-Estrutura de Chaves 
Publicas decorreu da necessidade de regulamentar a questao da certificacao digital, 
considerando a disseminacao do uso da tecnologia da informacao na sociedade. 

Estudos foram desenvolvidos para escolha da solucao tecnica de implantacao da 
ICP-Brasil, os quais levaram em consideracao as experiencias desenvolvidas na normalizacao 
e padronizacao internacionais adotadas por diversos pafses, assim como o sistema politico 
adotado no Brasil, as caracteristicas sociais, culturais, administrativas e tecnicas observadas 
em outros projetos do Poder Executivo Federal [45]. 

Uma das principais caracteristicas da ICP-Brasil e sua estrutura hierarquica. No 
topo da estrutura, encontra-se a Autoridade Certificadora Raiz e, abaixo dela, estao as 
diversas entidades. O contrato de adesao e subordinado a um processo de credenciamento, no 
qual sao analisadas a capacidade juridica, economico-financeira, fiscal e tecnica de cada 
entidade. Tambem e exigida a contratacao de seguro de responsabilidade civil e a realizacao 
de auditorias previas e anuais. Tudo isso tern o objetivo de garantir a seguran§a do processo, 
desde a identifica§ao dos titulares ate a emissao dos certificados, trazendo, assim, 
confiabilidade a toda estrutura e aos atos praticados em seu ambito [46]. 

A gera§ao, distribui§ao e gerenciamento das chaves publicas e dos certificados 
digitais e feita por meio das autoridades certificadoras (ACs). Sao essas autoridades 
certificadoras que vao garantir, por exemplo, que uma chave publica ou certificado digital 
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pertence realmente a uma determinada empresa ou pessoa. Sao elas que formam a cadeia de 
confianca que da seguranca ao sistema. Fazem o papel desempenhado pelos notarios no 
sistema de certificacao tradicional. Da mesma forma que os cartorios tradicionais, sao 
organizadas segundo criterios legais e obedecem, na prestacao dos seus servicos de 
certificacao, a toda uma politica de procedimentos, padroes e formatos tecnicos estabelecidos 
em regimes normativos. Obedecem, portanto, a um modelo tecnico de certificacao e estrutura 
normativa, que define quern pode emitir certificado para quern e em quais condicoes. 

Exemplos de algumas entidades cadastradas como Autoridades Certificadoras na 
ICP-Brasil sao: a Caixa Economica Federal, a Certisign, a Presidencia da Republica, a 
Secretaria da Receita Federal, o Serasa e o Serpro [46] . 

6.2.2. Certificados emitidos pela ICP-Brasil 

De acordo com as atuais polfticas de certificado adotadas no ambito da ICP-Brasil, 
sao 8 os tipos de certificado emitidos para usuarios finais, sendo 4 relacionados com 
assinatura digital (Al, A2, A3 e A4) e 4 com sigilo (SI, S2, S3, S4). Os numeros associados 
aos tipos de certificados (1 a 4) definem uma escala de seguranca, onde os tipos Al e SI estao 
associados aos requisitos menos rigorosos e os tipos A4 e S4 aos requisitos mais rigorosos 
[47]. 

Os certificados de tipos Al, A2, A3 e A4 sao utilizados em aplicacoes como 
confirmacao de identidade na Web, correio eletronico, transacoes on-line, redes privadas 
virtuais, transacoes eletronicas, informacoes eletronicas, cifracao de chaves de sessao e 
assinatura de documentos eletronicos com verificacao da integridade de suas informacoes. Os 
certificados de tipos SI, S2, S3 e S4 serao utilizados em aplicacoes como cifra§ao de 
documentos, bases de dados, mensagens e outras informa§oes eletronicas, com a finalidade de 
garantir o seu sigilo. Certificados de quaisquer dos tipos relacionados acima, de assinatura ou 
de sigilo, podem, conforme a necessidade, ser emitidos pelas ACs para pessoas ffsicas, 
pessoas juridicas, equipamentos ou aplica§oes. 

A Tabela 6.1 resume as caracteristicas principais dos certificados, informando 
respectivamente o tipo de certificado, o tamanho da chave em bits, o processo de gera§ao das 
chaves, como e feito o armazenamento da chave, a validade maxima do certificado, a 
freqiiencia em horas da emissao da Lista de Certificados Revogados (LCR) e o tempo limite 
em horas para a revoga§ao de um certificado. 
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Os certificados do tipo Al podem ser armazenados no proprio disco rigido do 
computador, em rnfdias simples como um disquete ou CD-ROM e permitem que as chaves 
privadas possam ser exportadas ou importadas de seu local original. Os modelos A2, A3 e A4 
exigem que as chaves sejam geradas internamente sem possibilidade de exportacao ou 
importacao. Portanto, dentre os modelos apresentados, e possfvel destacar os tipos A3 e A4 
como os modelos mais seguros, pois armazenam as chaves privadas em cartoes inteligentes 
ou "tokens" com capacidade de geracao de chave, o que quer dizer que a chave e gerada 
dentro do dispositivo, nao havendo necessidade de ficar exposta . 



Tipo 
Cert. 


Chave Criptografica 


Validade 


Freq. 
LCR 


Limite 
Revog. 




Tamanho 


Geracao 


Armazenamento 








Al eSl 


1024 bits 


Software 


Repositorio protegido por senha 
e/ou identificagao biometrica, 
cifrado por software 


1 ano 


6h 


12 h 


A2eS2 


1024 bits 


Software 


Cartao Inteligente ou Token, 
ambos sem capacidade de 
geragao de chave e protegidos 
por senha e/ou identificagao 
biometrica 


2 anos 


6h 


12 h 


A3eS3 


1024 bits 


Hardware 


Cartao Inteligente ou "token", 
ambos com capacidade de 
geragao de chave e protegidos 
por senha e/ou identificacao 
biometrica ou hardware criptogra- 
fico aprovado pelo CG da ICP- 
Brasil 


3 anos 


6h 


12 h 


A4eS4 


2048 bits 


Hardware 


Cartao Inteligente ou "token", 
ambos com capacidade de 
geragao de chave e protegidos 
por senha e/ou identificagao 
biometrica ou hardware criptogra- 
fico aprovado pelo CG da ICP- 
Brasil 


3 anos 


6h 


12 h 



Tabela 6.1 - Comparative de Requisitos Minimos por Tipo de Certificado [47] 
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Esse capftulo abordou as caracteristicas e tipos de um certificado digital e de uma 
Infra-Estrutura de Chaves Publicas, em particular da ICP-Brasil. Em conjunto com os 
capftulos 4 (Criptografia) e 5 (Assinatura Digital) esses esclarecimentos encerram o 
entendimento das questoes tecnicas que permitem o uso adequado da certificacao digital. O 
proximo capftulo apresentara uma analise critica relacionada a essas questoes tecnicas, bem 
como ira tratar da legislacao brasileira e das questoes legais relacionadas ao uso dos 
certificados digitais. Sera apresentado tambem um sucinto resumo da situacao das leis 
relacionadas a certificacao digital e assinatura digital existentes em outros pafses. 
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7. NORMALIZAQAO E REGULAMENTAQAO LEGAL 



Deve-se levar em conta que os avancos tecnologicos de uso comum pela sociedade 
muitas vezes levam tempo ate serem absorvidos pelo Direito. A legislacao que trata dos 
documentos eletronicos apenas comecou a surgir em meados da decada passada. Era de se 
esperar que os paises de maior renda fossem os primeiros a legislar sobre o tema, uma vez que 
sao tambem eles os que fazem uso mais intenso da tecnologia. Esse capftulo cita as principals 
legislacoes estrangeiras relacionadas a assinatura digital, apresenta os principais conceitos dos 
elementos basicos do processo legislativo brasileiro e enumera a legislacao pertinente aos 
documentos eletronicos e a assinatura digital, inclusive aquelas ainda em tramitacao no 
Congresso Nacional. 

7.1. LEGISLAQAO ESTRANGEIRA 

Em 1995, no estado de Utah - Estados Unidos, surge a primeira norma a respeito 
de documentos e assinaturas digitais (Utah Digital Signature Act [48]), notabilizada nao so 
pela precedencia como pelo detalhamento tecnico nela contido. O objetivo principal da 
legislacao da assinatura digital do estado de Utah e de promover o desenvolvimento de uma 
infra-estrutura de chave-publica. Na legislacao vigente no estado de Utah sao detalhados os 
direitos e as responsabilidades das partes em uma transacao que utilize a criptografia de chave 
publica. 

A importancia de se regularizar a assinatura digital tornou-se ainda mais 
expressiva quando, em 1996, a Uniao Europeia adotou a lei da Comissao das Nacoes Unidas 
sobre o Direito do Comercio Internacional (United Nations Commission on International 
Trade Law - UNCITRAL [49]), que se tornou uma lei modelo sobre o comercio eletronico, 
que serviria de referencial aos pafses-membro. Segundo BURNETT [40], "a lei modelo 
UNCITRAL e de alto nrvel, permitindo um metodo para as assinaturas e registros eletronicos 
sem nenhuma men§ao quanto as assinaturas digitais ou a criptografia". 

Desde entao outros estados norte-americanos passaram a buscar a regulamenta§ao 
do uso de assinaturas digitais, como as normas dos estados da California (Digital Signature 
Regulations [50]), de Illinois (Electronic Commerce Security Act [51]), e da Georgia 
(Electronic Records and Signature Act [52]). Em 2000, o entao presidente dos EUA, Bill 
Clinton, sancionou o Electronic Signatures in Global and National Commerce Act [53], lei 
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que regula assinaturas eletronicas e visa facilitar o uso de documentos eletronicos e 
assinaturas eletronicas nas transacoes comerciais entre Estados e pafses. Essa nova lei inclui, 
dentre outros, varios pontos importantes como definicao de escopo, aplicacao, direitos do 
consumidor, validade de assinaturas eletronicas, contratos e arquivos eletronicos e regras para 
autenticacao de documentos. 

Na Europa, diversos pafses tambem ja adotaram leis que tratam dos documentos e 
assinaturas digitais: Alemanha (Gesetz zur digitalen Signatur [54] ), Italia (Decreto del 
Presidente della Repubblica, n° 513, 1997 [55] ), Inglaterra {Electronic Communications Act, 
2000 [56] ), Franca (Loi n°2000-230, 2000 [57]), Portugal (Decreto-Lei n.° 290-D, de 2 de 
Agosto 1999 [58] ). Deve-se destacar a Diretiva 1999/93/EC [59] do Parlamento Europeu, que 
tern por objetivo nortear as nacoes europeias no que se refere a producao legislativa a respeito 
de documento e assinatura digital, uma vez que normas divergentes poderiam significar 
barreiras a integracao entre os pafses membros. 

Na America do Sul, alem do Brasil, outros pafses tambem disciplinam a questao 
dos documentos e assinaturas digitais. Por exemplo, o Chile o faz por meio do Decreto 
Supremo n. 81 de 1999 [60] , a Colombia mediante a Ley 527 de 1999 [61] e a Argentina com 
o Decreto 427 de 1998 [62]. 

O Anexo II, apresenta uma analise comparativa entre a legislacao adotada em 
varios pafses e tambem por organismos internacionais. 

7.2. LEGISLAQAO BRASILEIRA 

E necessaria uma pequena introducao ao processo legislativo brasileiro com o 
objetivo de esclarecer o significado de seus elementos basicos, que sao utilizados nesse 
trabalho. Uma das principais funcoes do Congresso Nacional e de suas casas - Camara dos 
Deputados e Senado Federal - e a de elaborar normas legais. Trata-se do processo legislativo 
que compreende de acordo com o art. 59 da CF (Constituicao Federal), a elaboracao de 
emendas a constituicao, leis complementares, leis ordinarias, leis delegadas, medidas 
provisorias, decretos legislativos e resolucoes [63]. A Figura 7.1 mostra um fluxo do processo 
legislativo. De maneira simplificada, apos a iniciativa e criada uma proposicao - normalmente 
um projeto de lei - na Camara ou no Senado. Durante a aprecia§ao pela casa criadora, a 
proposi§ao passa por varias comissoes podendo sofrer emendas e substitutivos. Se aprovada, 
segue para a outra casa (revisora) onde tramita da mesma forma e obtendo parecer favoravel, 
vai para a san§ao presidencial e posterior publica§ao; se houver veto do Presidente da 
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Republica, o congresso pode mante-lo ou rejeita-lo. Se o Congresso rejeitar o veto, o 
Presidente deve promulgar a lei que seguira entao para publicacao. 



Arquiuo Arquiuo 



Mantido 



T t 



Entrada em 
Vigor 



Iniciatiua 




Casa 




Casa 


-* 


Proposicao 


-> 


Criadora 




Reuisora 













Presidente 
da Republica 



Vetos 



Congresso 
National 



Publicacao 



. Ennendas 



Sancao/ 
Pronnul- 
gacao 



Rejeitado 



Presidente 
da Republica 



Pronnulgacao 



Figura 7.1 - Fluxo simplificado do Processo Legislativo [64] 



A seguir serao apresentados os conceitos dos elementos basicos do Processo 
Legislativo, bem como os principais decretos, medidas provisorias e projetos de lei 
relacionados ao tema documento eletronico e assinatura digital no Brasil. 

7.2.1. Elementos do Processo Legislativo 

Uma proposicao e toda a materia sujeita a deliberacao em uma das casas do 
Congresso Nacional (Camara dos Deputados ou Senado Federal) e dependendo de sua 
natureza ou de quern a inicie, a proposi§ao deve ser apresentada no Plenario, nas Comissoes 
ou na Mesa Diretora [63]. 

Um projeto de lei (PL) destina-se a regular as materias de competencia do Poder 
Legislativo, com a san§ao do Presidente da Republica. Com a legisla§ao atual, um projeto de 
lei pode ter sua tramita§ao iniciada tanto na Camara dos Deputados como no Senado Federal, 
devendo ser avaliado e aprovado por ambos. 

As emendas constitucionais (EC) sao manifesta§oes do poder constituinte derivado 
que visam a reformar parcialmente a constitui§ao, atraves de acrescimos, modifica§oes ou 
supressoes das normas constitucionais [65]. E a forma encontrada pelo poder constituinte para 
atualizar a constitui§ao de acordo com os novos tempos e adapta-las as necessidades e 
conveniencias do povo, sem necessidade de se fazer uma nova constitui§ao por inteiro. A 
proposta de emenda sera discutida e votada em cada casa do Congresso Nacional, em dois 
turnos, considerando-se aprovada se obtiver, em ambos, tres quintos dos votos dos respectivos 
membros. 

O direito brasileiro conhece tres especies de leis, que sao as ordinarias, as 
complementares e as delegadas. Lei, segundo QUEIROZ [66], e o ato normativo de carater 
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geral e abstrato elaborado pelo poder competente, por seu orgao, de acordo com o 
procedimento previsto na CF. E tambem um corpo de regras para a direcao da conduta 
humana, que e imposto e ministrado aos cidadaos de um dado Estado. A apresentacao ou 
proposicao de um projeto de lei complementar ou ordinaria pode, em princfpio, ser feita por 
qualquer Deputado ou Senador, por comissao da Camara, do Senado ou mista, pelo Presidente 
da Republica, pelo Supremo Tribunal Federal e demais tribunais, pelo Procurador Geral da 
Republica e pelo povo, o que se denomina de "iniciativa popular". 

A lei complementar, como o proprio nome diz, e o diploma legal destinado a 
complementar a CF [67]. As materias que devem ser regulamentadas atraves de lei 
complementar se encontram taxativamente previstas na Constituicao. O projeto de lei 
complementar devera ser discutido e votado em um unico turno de votacao, tendo por quorum 
a maioria absoluta, ou seja, mais da metade do total de membros integrantes da Casa. 

Uma lei ordinaria e assim denominada no processo legislativo para distingui-la da 
lei complementar ou delegada, ja que, na pratica, e denominada simplesmente lei [68]. O 
campo material por elas ocupado e residual, ou seja, tudo o que nao for regulamentado por lei 
complementar, decreto legislativo e resolucoes. O projeto de lei ordinaria devera ser discutido 
e votado em um unico turno de votacao, tendo por quorum a maioria simples, ou seja, mais da 
metade dos membros presentes a sessao de votacao. 

A lei delegada reflete a moderna tendencia do Direito Publico, quanta a 
admissibilidade de o Legislativo delegar, ao Presidente da Republica, poderes para elaboracao 
de leis em casos expressos [69]. Tern por objetivo dar os instrumentos para o Presidente 
adotar certos mecanismos que a lei permite. Deve ser solicitada por resolucao ao Congresso 
Nacional e, esta fixa seus limites, bem como, se havera ou nao a apreciacao do projeto de lei 
delegada pelo Congresso Nacional. Havendo apreciacao, o Congresso Nacional a fara em 
votacao unica, sendo vedada qualquer emenda. 

A Medida Provisoria (MP) e o ato normativo praticado pelo Presidente da 
Republica, quando se apresentam situacoes emergenciais e relevantes, possuindo por isso, 
forca de lei. Atualmente seu prazo de vigencia e de sessenta dias; prorrogavel, nos termos do 
§ 7o do art. 62 da CF, uma vez por igual periodo, devendo o Congresso Nacional disciplinar, 
por decreto legislativo, as rela§oes juridicas delas decorrentes, quando a medida provisoria for 
rejeitada [63]. A MP substituiu o antigo decreto-lei e somente o Presidente da Republica e 
legitimado a edita-la, sob os pressupostos juridicos de relevancia e urgencia. 
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As Medidas Provisorias estiveram submetidas a dois regimes constitucionais 
distintos desde a promulgacao da Constitui§ao Federal de 1988. O primeiro regime vigorou da 
promulgacao da Constitui§ao ate a data da promulgacao da Emenda Constitucional n° 
32/2001, de 11 de setembro de 2001 [70]. Nesse primeiro regime, as medidas provisorias 
possufam uma eficacia inicial de apenas trinta dias, mas podiam ser sucessivamente reeditadas 
pelo Presidente da Republica, mantendo-se a regulacao da materia com for§a de lei enquanto 
houvesse reedicao. O segundo regime, atualmente em vigor, foi implantado pela EC de n° 
32/2001 e, portanto, somente e aplicavel as medidas provisorias editadas a partir da 
promulgacao dessa emenda constitucional. 

Porem, na data da promulgacao da EC n° 32/2001 havia no Congresso Nacional 
sessenta e seis medidas provisorias antigas em tramita§ao, ou seja, editadas no regime 
constitucional anterior, antes de 11/09/2001. Foi necessario estabelecer uma regra especial 
para essas medidas provisorias, e esse papel foi cumprido pelo art. 2° da EC n° 32/2001, nos 
seguintes termos: "As medidas provisorias editadas em data anterior a da publica§ao desta 
emenda continuam em vigor ate que medida provisoria ulterior as revogue explicitamente ou 
ate deliberacao definitiva do Congresso Nacional" [70]. 

Enquanto nao ocorrer uma dessas hipoteses, essas medidas provisorias continuarao 
regulando, com for§a de lei, as materias nelas tratadas, independentemente de qualquer ato. 
Nao ha que se falar em necessidade de reedicao, de prorroga§ao de prazo etc., pois o proprio 
art. 2° da EC n° 32/2001 ja lhes outorgou vigencia por prazo indeterminado. Em especial, esse 
e o caso da MP 2.200-2, de 24 de agosto de 2001 disciplina o uso dos documentos e 
assinaturas digitais e que continua valida ate os dias de hoje. 

O decreto legislativo e o instrumento normativo atraves do qual sao materializadas 
as competencias exclusivas do Congresso Nacional. Alem das materias enumeradas na 
Constituicao Federal, o Congresso Nacional devera regulamentar, por decreto legislativo, os 
efeitos decorrentes da medida provisoria nao convertida em lei conforme ja citado 
anteriormente [71]. 

Ja o conceito de resolucao vem do latim "resolutione" - resolver, deliberar, 
romper, rescindir. E empregado em varias acep§oes, normalmente indicando delibera§ao ou 
determina§ao. Versa sobre materia de exclusiva competencia no ambito de um Poder, nao 
estando subordinada nem sujeita a aprova§ao ou referendo de qualquer outro. Dizem respeito 
a questSes de ordem administrativa, legislativa ou administrativa e de competencia privativa 
de um orgao, como por exemplo a regulamenta§ao de materias de competencia da Camara dos 
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Deputados e do Senado Federal [72]. O processo de elaboracao das resolucoes sera 
disciplinado pelos regimentos internos dos orgaos, em face de o texto constitucional ser 
omisso a respeito. 

Nao sendo considerado integrante do processo legislativo propriamente dito, temos 
ainda o decreto emanado do Poder Executivo. O decreto e considerado um ato administrativo, 
com o fim de regulamentar a lei propriamente dita, ou de ensejar, a determinado Poder, a 
realizacao dos atos inerentes a sua competencia. O decreto pode ser autonomo ou 
regulamentar. Autonomo, quando versa materia ainda nao tratada, especificamente, por 
alguma lei, suprindo portanto, omissoes do direito positivo. Nao pode, evidentemente, cuidar 
de materias que somente por lei possam ser disciplinadas. Ja o decreto regulamentar ou de 
execu§ao e aquele que tern por objetivo explicar o conteudo da lei e facilitar sua execu§ao 
[73]. 

7.2.2. Projetos de lei, Decretos e Medidas Provisorias no Brasil 

Nesta secao serao apresentados os principais decretos, medidas provisorias e 
projetos de lei que tratam da normalizacao de documentos eletronicos, assinaturas eletronicas 
e formas de viabilizar a sua utiliza§ao. Pela importancia em que representaram no momento 
de sua publica§ao, tambem serao apresentados alguns decretos que ja foram revogados, em 
razao de terem servido de base para proposicoes subseqiientes. 

Diante da intensifica§ao do uso de microcomputadores na Adrninistra§ao Publica e 
como conseqiiencia direta o crescimento vertiginoso de documentos eletronicos, o proprio 
Poder Executivo percebeu a necessidade de criar normas que disciplinassem elaboracao, o 
envio e o armazenamento de documentos eletronicos em sua propria esfera de atua§ao. 

O decreto n° 2.954, de 29 de Janeiro de 1999 estabeleceu regras para os atos 
normativos de competencia do Poder Executivo e logo instituiu que a transmissao deveria ser 
feita em meio eletronico, "exceto nos casos em que fosse impossfvel a utilizacao desse meio" 
(decreto 3.779/2001). Para assegurar a integridade e autoria dos documentos, o decreto de n° 
3.714/2001 estabeleceu que os documentos deveriam ser assinados eletronicamente para a 
garantia da "seguranca, autenticidade e integridade de seu conteudo" e tramitados atraves de 
um sistema denominado SIDOF - Sistema de Geracao e Tramita§ao de Documentos Oficiais 
(decreto n° 4.522/2002). Atualmente, toda essa trarnita§ao e regida pelo decreto n° 4.176 de 
28 de marco de 2002. 
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No ano 2000, o Governo Brasileiro lancava as bases para a criacao de uma 
sociedade digital ao criar um Grupo de Trabalho Interministerial com a finalidade de 
examinar e propor polfticas, diretrizes e normas relacionadas com as novas formas eletronicas 
de interacao. As acoes desse grupo de trabalho, foram ao encontro das metas do programa 
Sociedade da Informacao, coordenado pelo Ministerio da Ciencia e Tecnologia. Esse esforco 
conjunto acabou por criar o que foi denominado de Governo Eletronico [74], que tern como 
principais linhas de acao a promocao da universalizacao do acesso aos servicos, a 
transparencia de suas acoes, a integracao de redes e o alto desempenho dos seus sistemas, 
todas essas acoes em prol de um melhor atendimento aos anseios da sociedade. 

Nesse interim, o governo cria a ICP-Gov (decreto n° 3.587/2000), ou seja, uma 
Infra-estrutura de Chaves Publicas que definia a organizacao, o modelo operacional e uma 
polftica de certificacao atraves do uso de criptografia assimetrica para o Poder Executivo. 
Outros setores da sociedade, como a Caixa Economica Federal, a SERASA, o SERPRO, 
incluindo o Poder Judiciario, ja estavam em passos adiantados implementando suas proprias 
Autoridades Certificadoras. 

Em 28 de junho de 2001, o Presidente da Republica edita a MP 2.200 e institui a 
Infra-Estrutura de Chaves Publicas Brasileira (ICP-Brasil), com o objetivo de fazer com que 
orgaos governamentais e instituicoes privadas brasileiras pudessem usufruir de uma infra- 
estrutura capaz de suportar os fundamentos tecnicos e legais de um sistema de certificacao 
digital baseado em chave publica. Em razao de seu conteudo, recebeu inicialmente varias 
cnticas e foi re-editada por duas vezes. O proximo capftulo desse trabalho, ira analisar com 
mais detalhes as implicacoes tecnicas e legais dessa MP e de outros projetos de lei. 

Posteriormente, os decretos 3.865/2001, 3.996/2001 e 4.414/2002, estabeleceram 
regras sobre a prestacao de servicos de certificacao digital no ambito da Administra§ao 
Publica Federal. Adicionalmente, o Comite Gestor da ICP-Brasil aprovou em 18/04/2006 as 
Resolu§oes de n°s 38 a 45. Essas resolu§oes aprovam um conjunto de 8 documentos, que, 
juntamente com aqueles aprovados pela Resolu§ao 15, de 10 de junho de 2002 e pela 
Resolu§ao 36, de 21 de outubro de 2004, formam o corpo basico da Estrutura Normativa da 
ICP-Brasil. A cria§ao e altera§ao dos documentos sao sempre aprovadas pelo Comite Gestor 
da ICP-Brasil, por meio de Resolu§oes [75]. 

A cria§ao da ICP-Brasil e a possibilidade de atender os requisites de integridade e 
autenticidade de um documento eletronico atraves da certifica§ao digital, tern impulsionado 
varias discussoes sobre comercio eletronico, o que parece ser uma das molas propulsoras na 
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definicao de normas e projetos de lei. Criado pela Portaria Interministerial n° 42 de 2000 e 
tendo obtido inicialmente resultados incipientes, o Comite Executivo de Comercio Eletronico 
[76] foi reinstaurado em 2004. E essencialmente, uma interface entre os setores publico e 
privado e visa melhor compreender e acelerar o desenvolvimento do comercio eletronico no 
Brasil. Agora com o apoio total do Governo, o Comite tern as seguintes prioridades: 
aprovacao dos marcos legais faltantes, inclusao digital, definicao de padroes e metricas da 
economia digital. O Comite propoe ainda a discussao de temas como documento e fatura 
eletronica, spam, simplificacao burocratica e protecao de dados, entre outros [77]. 

A seguir sera apresentada uma smtese dos principais decretos e medidas 
provisorias discutidas nessa secao, agrupados por afinidade, como tambem os projetos de lei 
que ainda estao em tramitacao no Congresso Nacional. Tambem serao relacionadas as 
resolucoes que dizem respeito ao funcionamento da ICP-Brasil aprovadas por seu Comite 
Gestor. 



Decretos e Medidas Provisorias 



1) Decreto n° 4.176, de 28 de marco de 2002 (Vigente) 

Estabelece normas e diretrizes para a elaboracao, a redacao, a alteracao, a consolidacao e o 
encaminhamento ao Presidente da Republica de projetos de atos normativos de competencia 
dos orgaos do Poder Executivo Federal, e da outras providencias. Em seu art. 37 estabelece 
que as propostas de projetos de ato normativo deverao ser encaminhadas a Casa Civil por 
meio eletronico. No § 1° do Inciso III do mesmo artigo, normatiza que a exposicao de motivos 
e o parecer juridico conclusivo serao assinados eletronicamente. 

Decreto n° 2.954, de 29 de Janeiro de 1999 (Revogado pelo Decreto n Q 4.176) 
Estabeleceu regras para a redacao de atos normativos de competencia dos orgaos do 
Poder Executivo, pois considerava uma necessidade o controle de juridicidade e 
legitimidade dos atos normativos, assim como a uniformizacao dos atos e 
procedimentos administrativos. 

Decreto n° 3.585, de 05 de setembro de 2000 (Revogado pelo Decreto n Q 4.176) 
Incluiu o art. 57-A ao Decreto 2.954, acrescentando que a partir de 1° de janeiro de 
2001, os documentos a que se refere este Decreto somente seriam recebidos, na Casa 
Civil da Presidencia da Republica, por meio eletronico. 

Decreto n° 3.714, de 03 de Janeiro de 2001 (Revogado pelo Decreto n e 4.176) 
Dispoe sobre a remessa por meio eletronico de documentos a que se refere o art. 57-A 
do Decreto no 2.954, de 29 de janeiro de 1999. Em seu artigo 2° expoe: "A 
transmissdo dos documentos a que se refere este Decreto, assinados eletronicamente 
pela autoridade competente, far-se-d por sistema que Ihes garanta a seguranga, a 
autenticidade e a integridade de seu conteudo, bem como a irretratabilidade ou 
irrecusabilidade de sua autoria". 
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Decreto n° 3.779, de 23 de Marco de 2001 (Revogado pelo Decreto n°- 4.176) 

Acresce dispositivo ao art. 1° do Decreto no 3.714, de 3 de janeiro de 2001, que dispoe 

sobre a remessa por meio eletronico de documentos. 

"Pardgrafo unico. Sera utilizado o meio eletronico, na forma estabelecida neste 
Decreto, para remessa de aviso ministerial, exceto nos casos em que for impossivel a 
utilizagao desse meio." 

2) Medida Provisoria n° 2.200-2, de 24 de Agosto de 2001 (Vigente) 

Institui a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil e transforma o Instituto 
Nacional de Tecnologia da Informa§ao (ITI) em autarquia. A ICP-Brasil visa garantir a 
autenticidade, a integridade e a validade juridica de documentos em forma eletronica, das 
aplica§6es de suporte e das aplica§6es habilitadas que utilizem certificados digitals. Foi 
primeiramente editada em 28 de Junho de 2001 (MP 2.200) e reeditada por duas vezes (MP 
2.200-1 de 27 de julho de 2001 e MP n° 2.200-2, de 24 de agosto de 2001). Tern forca de lei 
em razao da EC 32 de 2001, uma vez nao foi revogada ou deliberada em definitivo pelo 
Congresso Nacional. 

Decreto n° 3.872, de 18 de julho de 2001 (Vigente) 

Dispoe sobre o Comite Gestor da Infra-Estrutura de Chaves Publicas Brasileira - CG 
ICP-Brasil, seus integrantes e competencias. Estabelece tambem que o CG recebera 
suporte tecnico da Comissao Tecnica Executiva - COTEC e assessoria do Centro de 
Pesquisa e Desenvolvimento para a Seguranca das Comunica§oes - CEPESC. 

3) Decreto n° 3.996, de 31 de outubro de 2001 (Vigente) 

Dispoe sobre a prestacao de servicos de certifica§ao digital no ambito da Administra§ao 
Publica Federal. Estabelece que somente mediante previa autoriza§ao do Comite Executivo 
do Governo Eletronico, os orgaos e as entidades da Adrninistra§ao Publica Federal poderao 
prestar ou contratar servicos de certifica§ao digital e os mesmos deverao ser providos 
mediante certifica§ao disponibilizada por AC integrante da ICP-Brasil. 

Decreto n° 4.414, de 07 de Outubro de 2002 (Vigente) 

Altera o Decreto n° 3.996, acrescentando o art. 3°-A, que dispoe que "As aplicagoes e 
demais programas utilizados no ambito da Administragao Publica Federal direta e 
indireta que admitirem o uso de certificado digital de um determinado tipo 
contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou 
com requisitos de seguranga mais rigor osos, emitido por qualquer AC integrante da 
ICP-Brasil." 

Decreto n° 3.865, de 13 de Julho de 2001 (Vigente) 

Estabelece requisite para contrata§ao de servicos de certifica§ao digital pelos orgaos 
publicos federais, e da outras providencias. Dispoe que somente mediante previa 
autoriza§ao do Comite Executivo do Governo Eletronico, os orgaos da Administra§ao 
Publica Federal, direta e indireta, e as entidades a eles vinculadas poderao contratar, 
para uso proprio ou de terceiros, quaisquer servi§os de certifica§ao digital. 

Decreto n° 3.587, de 05 de Setembro de 2000 (Revogado pelo Decreto n 3 3.996) 
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Estabelece normas para a Infra-Estrutura de Chaves Publicas do Poder Executivo 
Federal - ICP-Gov. Contemplou a organizacao, o modelo operacional e uma polftica 
de certificacao atraves do uso de criptografia assimetrica. Um conjunto de regras e 
polfticas ficaram de ser definidas por uma autoridade denominada de Autoridade de 
Gerencia de Polfticas - AGP. 

4) Decreto n° 4.522, de 17 de Dezembro de 2002 (Vigente) 

Dispoe sobre o Sistema de Geracao e Tramitacao de Documentos Oficiais - SIDOF, onde 
ficarao organizadas sob a forma de sistema, as atividades de elaboracao, redacao, alteracao, 
controle, tramitacao, administracao e gerencia das propostas de atos normativos a serem 
encaminhadas ao Presidente da Republica pelos Ministerios e orgaos integrantes da estrutura 
da Presidencia da Republica. 

Resolucoes do ITI 

Resolu^ao n° 3, de 25 de Setembro de 2001 (Vigente) 

Resolve designar Comissao para auditar a Autoridade Certificadora Raiz - AC Raiz e seus 

prestadores de servicos. 
Resolu^ao n° 5, de 22 de Novembro de 2001 (Vigente) 

Aprova o Relatorio de auditoria da AC Raiz. 
Resolucao n° 15, de 10 de Junho de 2002 (Vigente) 

Estabelece as diretrizes para sincronizacao de freqiiencia e de tempo na Infra-Estrutura de 

Chaves Publicas Brasileira - ICP-Brasil. 
Resolucao n° 16, de 10 de Junho de 2002 (Vigente) 

Estabelece as diretrizes para sincronizacao de freqiiencia e de tempo na Infra-Estrutura de 

Chaves Publicas Brasileira - ICP-Brasil. 
Resolucao n° 20, de 08 de Maio de 2002 (Vigente) 

Determina o desenvolvimento de uma plataforma criptografica aberta, voltada a operacao 

da AC Raiz. 

Resolucao n° 29, de 29 de Janeiro de 2004 (Vigente) 

Designa Comissao para realizar auditoria pre- operacional da AC Raiz em novo ambiente 

proprio devidamente provido de recursos ffsicos e logicos. 
Resolucao n° 33, de 21 de Outubro de 2004 (Vigente) 

Delega a AC RAIZ da ICP-Brasil atribuicao para suplementar as normas do Comite 

Gestor e da outras providencias. 
Resolucao n° 36, de 21 de Outubro de 2004 (Vigente) 

Aprova o Regulamento para Homologacao de Sistemas e Equipamentos de Certificacao 

Digital no ambito da ICP-Brasil. 
Resolu^ao n° 38, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 da Declara§ao de Praticas de Certifica§ao de Autoridade 

Certificadora Raiz da ICP-Brasil. 
Resolu^ao n° 39, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 da Polftica de Seguran§a da ICP-Brasil. 
Resolu^ao n° 40, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 dos Criterios e Procedimentos para Credenciamento das Entidades 

Integrantes da ICP-Brasil. 
Resolu^ao n° 41, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 dos Requisites Mfnimos para as Polfticas de Certificado na ICP- 
Brasil. 
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Resolucao n° 42, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 dos Requisitos Mmimos para as Declaracoes de Praticas de 

Certificacao das Autoridades Certificadoras da ICP-Brasil. 
Resolucao n° 43, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 das Diretrizes da Polftica Tarifaria da Autoridade Certificadora Raiz 

da ICP-Brasil. 
Resolucao n° 44, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 dos Criterios e Procedimentos para Realizacao de Auditorias nas 

Entidades nas Entidades da ICP-Brasil. 
Resolucao n° 45, de 18 de Abril de 2006 (Vigente) 

Aprova a versao 2.0 dos Criterios e Procedimentos para Fiscalizacao das Entidades 

Integrantes da ICP-Brasil. 
Resolucao n° 1, de 25 de Setembro de 2001 (Revogada pela Res. 38 de 2006) 
Resolucao n° 2, de 25 de Setembro de 2001 (Revogada pela Res. 42 de 2006) 
Resolucao n° 4, de 22 de Novembro de 2001 (Revogada pela Res. 38 de 2006) 
Resolucao n° 6, de 22 de Novembro de 2001 (Revogada pela Res. 40 de 2006) 
Resolucao n° 7, de 12 de Dezembro de 2001 (Revogada pela Res. 41 de 2006) 
Resolucao n° 8, de 12 de Dezembro de 2001 (Revogada pela Res. 42 de 2006) 
Resolucao n° 9, de 12 de Dezembro de 2001 (Revogada pela Res. 42 de 2006) 
Resolucao n° 10, de 14 de Fevereiro de 2002 (Revogada pela Res. 43 de 2006) 
Resolucao n° 11, de 14 de Fevereiro de 2002 (Revogada pela Res. 41 de 2006) 
Resolucao n° 12, de 14 de Fevereiro de 2002 (Revogada pela Res. 40 de 2006) 
Resolucao n° 13, de 26 de Abril de 2002 (Revogada pela Res. 42 de 2006) 
Resolucao n° 14, de 10 de Junho de 2002 (Revogada pela Res. 40 de 2006) 
Resolucao n° 17, de 20 de Setembro de 2002 (Revogada pela Res. 40 de 2006) 
Resolucao n° 18, de 10 de Outubro de 2002 (Revogada pela Res. 43 de 2006) 
Resolucao n° 19, de 08 de Maio de 2002 (Revogada pela Res. 38 de 2006) 
Resolucao n° 21, de 29 de Agosto de 2003 (Revogada pela Res. 42 de 2006) 
Resolucao n° 22, de 29 de Agosto de 2003 (Revogada pela Res. 40 de 2006) 
Resolucao n° 23, de 29 de Agosto de 2003 (Revogada pela Res. 42 de 2006) 
Resolucao n° 24, de 29 de Agosto de 2003 (Revogada pela Res. 44 de 2006) 
Resolucao n° 25, de 24 de Outubro de 2003 (Revogada pela Res. 45 de 2006) 
Resolucao n° 26, de 24 de Outubro de 2003 (Revogada pela Res. 42 de 2006) 
Resolucao n° 27, de 24 de Outubro de 2003 (Revogada pela Res. 39 de 2006) 
Resolucao n° 28, de 11 de Novembro de 2003 (Revogada pela Res. 41 de 2006) 
Resolucao n° 30, de 29 de Janeiro de 2004 (Revogada pela Res. 42 de 2006) 
Resolucao n° 31, de 29 de Janeiro de 2004 (Revogada pela Res. 42 de 2006) 
Resolucao n° 32, de 21 de Outubro de 2004 (Revogada pela Res. 39 de 2006) 
Resolucao n° 37, de 21 de Outubro de 2004 (Revogada pela Res. 42 de 2006) 
Resolucao n° 34, de 21 de Outubro de 2004 (Revogada pela Res. 42 de 2006) 
Resolucao n° 35, de 21 de Outubro de 2004 (Revogada pela Res. 41 de 2006) 

Projetos de Lei 

1) Projeto de lei n° 2.644, de 11 de dezembro de 1996 
Autor: Dep. Jovair Arantes 

Ementa: Dispoe sobre a elaboracao, o arquivamento e o uso de documentos eletronicos. 
Apensado ao PL -1713/1996 - Ementa: Dispoe sobre o acesso, a responsabilidade e os 
crimes cometidos nas redes integradas de computadores e da outras providencias. Apensado 
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ao PL -1070/1995 - Ementa: Dispoe sobre crimes oriundos da divulgacao de material 
pornografico atraves de computadores. 

Ultima Acao do PL -1070/1995: 14/12/2005 - Comissao de Constituicao e Justica e de 
Cidadania (CCJC). Designado Relator, Dep. Antonio Carlos Magalhaes Neto. 

2) Projeto de lei n° 3.173 de 26 de maio de 1997 
Autor: Sen. Sebastiao Rocha 

Ementa: Dispoe sobre os documentos produzidos e os arquivados em meio eletronico e da 
outras providencias. 

Proposicao Originaria: PLS - 22/1996 

Ultima A^ao: 18/6/2001 - Mesa Diretora da Camara dos Deputados. Recurso solicitando que 
este projeto seja apreciado pelo Plenario. 

3) Projeto de lei n° 4.734 de 12 de agosto de 1998 
Autor: Dep. Paulo Lima 

Ementa: Dispoe sobre a informatizacao, no ambito da Lei n° 6.015, de 31 de dezembro de 
1973 - Lei de Registros Publicos - da escrituracao cartoraria atraves de discos opticos e 
optomagneticos ou em outros meios reconhecidos como legais, sem prejufzo dos metodos 
atualmente empregados. Incluindo o CD-ROM e o disquete. 

Ultima Ac^ao: 24/11/2000 - Encaminhado ao Senado Federal onde recebeu a designacao de 
PLC 00109/2000 e desde a data de 12/06/2003 encontra-se na CCJC pronto para a pauta na 
comissao com voto pela aprovacao do projeto. 

4) Projeto de lei n° 1.532 de 19 de agosto de 1999 
Autor: Dep. Angela Guadagnin 

Ementa: Dispoe sobre a elaboracao e arquivamento de documentos em meios 
eletromagneticos . 

Ultima Ac^ao: 04/04/2006 - CCJC, para parecer com aprovacao de merito. 

5) Projeto de lei n° 2.589 de 15 de marco de 2000 
Autor: Dep. Edison Andrino 

Ementa: Altera o paragrafo unico do artigo 541 do Codigo de Processo Civil - Lei n° 5.869, 
de 11 de janeiro de 1973, para admitir as decisoes disponfveis em mfdia eletronica, inclusive 
na Internet, entre as suscetrveis de prova de divergencia jurisprudential, para os fins do artigo 
105, III, c, da Constituicao Federal. 

Ultima A^ao: 19/07/2006 - encaminhado a san§ao presidencial. 

6) Projeto de lei n° 4.906-A, de 21 de junho de 2001 

Autor: Sen. Lucio Alcantara com substitutivo do Dep. Julio Semeguini 
Proposi^ao Originaria: PLS-672/1999 

Ementa: Dispoe sobre o comercio eletronico. A este projeto estao apensados os PL 
1.483/1999, 1.589/1999, PL 6.965/2002 e PL 7.093/2002. 

Ultima A^ao: 27/9/2001 - Mesa Diretora da Camara dos Deputados, Leitura e publica§ao 
do parecer da Comissao Especial. Pronto para a Ordem do Dia. 

Projeto de lei n° 1.483 de 12 de agosto de 1999 
Autor: Dep. Helio de Oliveira Santos 

Ementa: Institui a fatura eletronica e a assinatura digital nas transa§oes de comercio 
eletronico. 

Ultima Acao: 25/06/2001 - Apensado ao PL - 4.906/2001 
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Projeto de lei n° 1.589 de 31 de agosto de 1999 
Autor: Dep. Luciano Pizzatto 

Ementa: Dispoe sobre o comercio eletronico, a validade juridica do documento 
eletronico e a assinatura digital, e da outras providencias. 
Ultima Acao: 24/09/1999 - Apensado ao PL - 1.483/1999 

Projeto de lei n° 6.965 de 12 de junho de 2002 
Autor: Dep. Jose Carlos Coutinho 

Ementa: Confere valor juridico a digitalizacao de documentos, e da outras 
providencias. 

Ultima Acao: 25/06/2002 - Apensado ao PL - 4.906/2001 

Projeto de lei n° 7.093 de 6 de agosto de 2002 
Autor: Dep. Ivan Paixao 

Ementa: Esta lei dispoe sobre a correspondencia eletronica comercial, e da outras 
providencias. 

Ultima Acao: 26/08/2002 - Apensado ao PL - 4.906/2001 

7) Projeto de lei n° 7.316 de 07 de novembro de 2002 
Autor: Poder Executivo 

Ementa: Disciplina o uso de assinaturas eletronicas e a prestacao de servicos de certificacao. 
Define assinatura eletronica avancada, chave de criacao e de verificacao de assinatura, 
certificado digital qualificado e outros. Estabelece requisitos para que a Autoridade 
Certificadora Raiz - AC Raiz da Infra-Estrutura de Chaves Publicas Brasileira realize o 
credenciamento de prestador de servico de certificacao. 

Ultima A<;ao: 16/12/2005 - CCJC, parecer com complementacao de voto, pela 
constitucionalidade, juridicidade, tecnica legislativa e, no merito, pela aprovacao deste 
projeto, nos termos do Substitutive da CCTCI (vide Anexo I), com subemendas; e das 
Emendas apresentadas nesta Comissao de n°s 1, com subemenda; 2, com subemenda; e 3 a 
12. 

Projeto de lei n° 6.825 de 17 de maio de 2002 (Retirado e Arquivado) 

Autor: Poder Executivo 

Proposicao Originaria: MSC-354/2002 

Ementa: Cria a Taxa de Credenciamento de Autoridade Certificadora (AC), de 
Autoridade de Registro (AR) e dos demais prestadores de servico de suporte a Infra- 
Estrutura de Chaves Publicas Brasileira - ICP-Brasil e a Taxa de Fiscalizacao e de 
Manutencao de Credenciamento de atividades de certificacao digital. 
Ultima A^ao: 20/10/2003 - Mesa Diretora da Camara dos Deputados - Deferido o 
Aviso n° 1049/03, da Presidencia da Republica, encaminhando a MSC 509/03, 
solicitando a retirada deste Projeto.Retirada deferida pela Mesa Diretora com base no 
inciso VII do Art. 1 14 do RICD. 

OBS: PL retirado em razao da inadequacao das taxas a realidade dos custos 
envolvidos na prestacao de servico de certificacao, incluindo fiscaliza§ao, auditagem e 
credenciamento dos provedores de servi§o de certifica§ao. 

Projeto de lei n° 2.281 de 10 de outubro de 2003 (Retirado e Arquivado) 
Autor: Poder Executivo 
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Ementa: Institui a Taxa de Credenciamento - TCD, a Taxa de Fiscalizacao e de 
Manutencao de Credenciamento - TFM relativas as atividades de certificacao digital, 
as multas e da outras providencias. 

Ultima Acao: 27/04/2006 - Mesa Diretora da Camara dos Deputados - Deferido o 
Aviso n° 385/06, da Presidencia da Republica, encaminhando a MSC 268/06, 
solicitando a retirada deste Projeto.Retirada deferida pela Mesa Diretora com base no 
inciso VII do Art. 1 14 do RICD 

OBS: PL retirado por inadequacao a situacao atual do ITI de recebimento de recursos 
do Tesouro Nacional e por estar em conflito com o PL 7.316. 

8) Projeto de lei n° 229 de 22 de junho de 2005 
Autor: Sen. Pedro Simon 

Ementa: Dispoe sobre a autenticidade e o valor juridico e probatorio de documentos 
produzidos, emitidos ou recebidos por orgaos publicos federais, estaduais e municipals, por 
meio eletronico. 

Ultima Acao: 01/07/2005 - CCJC, aguardando designacao do relator. 

9) Projeto de lei n° 6.693 de 07 de marco de 2006 
Autor: Dep. Sandra Rosado 

Ementa: Altera o art. 375 da Lei n° 5.869, de 11 de janeiro de 1973 - Codigo de Processo 
Civil. Inclui o e-mail como prova documental, estabelecendo a presuncao de autenticidade do 
mesmo. 

Ultima A^ao: 16/03/2006 - CCJC, sujeita a apreciacao conclusiva pelas comissoes. 

Como pode ser visto, o unico instrumento com equivalencia de lei que o Brasil possui 
relacionado a assinatura digital e a MP 2.200 (EC 32/2001). Todas as outras iniciativas 
relacionadas ao tema, ou sao projetos de lei em tramitacao ou decretos expedidos pelo Poder 
Executivo. Os decretos, deveriam somente elucidar e disciplinar a lei em seus aspectos 
empfricos. O que tern acontecido na pratica e que muitos decretos sao autonomos, tratam de 
assunto ainda nao citado por lei, e assim acabam tendo a mesma forca da lei no ambito de sua 
aplicacao. 

O proximo capftulo procedera uma criteriosa analise critica relacionada aos 
documentos eletronicos e a assinatura digital. Essa analise apresentara questoes de cunho 
tecnico e tambem juridico, inclusive analisando a legisla§ao apresentada neste capftulo. 
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8. ANALISE CRITICA DE DOCUMENTOS ELETRONICOS E 
ASSINATURA DIGITAL 



Esse capftulo apresenta uma analise tecnica e legal dos diversos aspectos 
relacionados aos documentos eletronicos e a certificacao digital. A analise tecnica procura 
mostrar que a seguranca das assinaturas digitais vai alem da criptografia e dos criterios 
exclusivamente tecnicos, apresentando varias questoes que podem ser discutidas em relacao a 
seguranca de um sistema de certificacao digital. Ja na secao seguinte sao analisados os varios 
aspectos legais envolvidos, incluindo a legislacao atual existente e as proposicoes em 
tramitacao no Congresso Nacional. 

8.1. ANALISE TECNICA 

Com a popularizacao dos microcomputadores e o advento da Internet, a utilizacao 
de documentos eletronicos vem crescendo constante e rapidamente. Esses documentos digitais 
tern como suporte o meio eletronico, que oferece como vantagens a facilidade de 
processamento, a rapidez no transito de informacoes e a reducao de custos. Novas 
caracteristicas como a dissociabilidade do meio, a facilidade de alteracao e duplicacao, 
fizeram com que os conceitos de original e copia se confundissem em um documento 
eletronico digital. 

A necessidade de garantir os requisites de autenticidade, integridade e 
tempestividade de um documento eletronico e importante para que o mesmo adquira validade 
e eficacia probatoria e assim possa ser utilizado como meio de prova. A assinatura digital, 
proporcionada atraves da utiliza§ao da criptografia assimetrica, permite que tais requisitos 
sejam obtidos em conjunto com uma infra estrutura de certifica§ao digital. 

A utiliza§ao da criptografia e uma parte importante da certifica§ao digital, 
provendo a seguran§a necessaria para um documento eletronico assinado digitalmente. 
Entretanto, deve-se observar que a criptografia e apenas uma parte de um sistema maior onde 
coexistem usuarios, computadores, dispositivos de armazenamento, redes de comunica§ao, 
Autoridades Certificadoras e administradores desses recursos computacionais. Ha uma 
maxima na seguran§a que afirma que "a seguranga de um sistema e tdo forte quanto o seu elo 
maisfraco". Por isso, a seguran§a fornecida pela criptografia e necessaria, mas nao suficiente, 
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para garantir os requisitos de seguranca necessarios ao funcionamento de uma infra-estrutura 
de certificacao digital. 

A seguir serao apresentadas diversas questoes que podem dificultar o uso, ou ate 
mesmo comprometer a confianca na utilizacao de um documento eletronico contendo 
assinatura digital. Todas essas questoes estao inter-relacionadas, mas para dar maior clareza 
ao texto, foram divididas em topicos relacionados as pessoas (usuarios e administradores), a 
infra-estrutura (equipamentos, normas e procedimentos) e aos softwares utilizados, de acordo 
com a enfase que se quis dar ao topico apresentado. 

8.1.1. Questoes relacionadas as pessoas 

Esclarecimento dos conceitos de assinatura em meio eletronico 

E importante levar em consideracao que a assinatura eletronica e toda e qualquer 
forma de identificacao efetuada por meio eletronico. Uma senha digitada em uma pagina da 
internet e uma forma comum de exemplificar uma assinatura eletronica. Ja uma assinatura 
digital e um tipo de assinatura eletronica, baseada na criptografia assimetrica e na utilizacao 
de certificados digitais. Percebe-se que esses dois conceitos, muitas vezes sao utilizados como 
sinonimos, ou pior ainda, utiliza-se o conceito de assinatura digital de forma equivocada, as 
vezes referindo-se a uma assinatura digitalizada, que nao tern qualquer amparo legal. E 
importante ressaltar que a assinatura digital pressupoe uma infra-estrutura de chaves publicas 
e a utilizacao de certificados digitais. 

Uso correto da tecnologia e seguranca do usuario 

Os usuarios de certificados e assinaturas digitais devem ter o conhecimento 
mmimo da tecnologia empregada e a consciencia de que sao parte integrante da "cadeia" de 
certificacao necessaria a dar credibilidade ao documento eletronico assinado. Em especial, 
devem estar atentos a tentativas de "engenharia social", a importancia do sigilo da chave 
privada e a guarda dos dispositivos de armazenamento (normalmente um "smart card" ou 
"token"). Nesse interim, e sabido que o conhecimento da chave privada do usuario por 
terceiros pode permitir a falsificacao de assinaturas digitais de forma irrepudiavel, caso a 
perda nao seja imediatamente comunicada a Autoridade de Registro [78]. 

Os tipos de certificados mais utilizados e disponibilizados pelas Autoridades 
Certificadoras sao os do tipo Al e do tipo A3. Algumas a§oes podem danificar e inutilizar um 
certificado digital. Para os certificados do tipo Al, que sao gerados e armazenados no 
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computador onde foi feita a solicitacao, algumas consideracoes importantes devem ser 
observadas: 



• O certificado Al, nao usa "smart card' ou "token", devendo os dados nele 
contidos ser protegidos por uma senha de acesso. Somente com esta senha e 
possfvel acessar, mover e copiar a chave privada. O esquecimento da senha 
de acesso inutiliza o certificado, uma vez que nao ha meio de recupera-la. 

• O certificado do tipo Al pode ser solicitado atraves da Internet. Apos o 
processo de solicitacao, o mesmo somente podera ser instalado no mesmo 
computador onde foi solicitado, ou seja, no mesmo perfil de usuario e no 
mesmo navegador de Internet onde foi realizada a solicitacao. A instalacao 
em outro computador somente apos a instalacao inicial e posterior 
exportacao do certificado. 

• A formatacao do computador ou a reinstalacao do sistema operacional 
inutiliza o certificado digital, pois compromete a chave privada. 
Adicionalmente, qualquer alteracao no perfil do usuario tambem pode 
comprometer a chave privada. A perda ou adulteracao da chave privada, 
implica na perda do certificado digital pois a mesma nao pode ser 
recuperada. 

Para os certificados do tipo A3, as seguintes observacoes sao muito importantes 
para o seu uso de forma correta e segura: 

• O certificado do tipo A3 somente pode ser armazenado em "smart card" ou 
"token" criptografico e a identificacao do usuario deve ser obrigatoriamente 
presencial. 

• Deve-se manter o "smart card' ou "token" em local seguro. Perde-lo 
significa perder o certificado digital. A perda deve ser comunicada 
imediatamente a Autoridade de Registro para que se proceda a revogacao do 
certificado. 

• Danos ffsicos ao "smart card" ou "token" podem inutiliza-lo, tendo como 
conseqiiencia a perda do certificado. 

• Esquecer as senhas do "smart card" e de acesso ao certificado tambem 
inviabiliza o seu uso, uma vez que nao ha meio de recupera-las. 

• Formatar o "smart card' ou "token" ou remover as chaves do dispositivo, 
tambem inutilizam o certificado. 

• O dispositivo ("smart card" ou "token") pode ser bloqueado apos a digitacao 
sucessiva de senhas incorretas. E possfvel desbloquea-lo, atraves de processo 
estabelecido com a Autoridade de Registro. 

Adicionalmente, o computador utilizado pelo usuario para proceder a assinatura 
digital de um documento eletronico deve possuir as condicoes mmimas de seguranca para a 
realizacao de tal procedimento. E necessario manter o sistema operacional e o navegador de 
internet sempre em suas versoes mais atuais, com atencao especial as atualizacoes de 
seguranca. E muito importante a utiliza§ao de programas antivirus e "firewall" para prote§ao 
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de ataques vindos da rede de comunicacao. Virus e outros softwares mal intencionados, 
podem danificar e ate mesmo apagar documentos de um computador desprotegido. No caso 
de certificados do tipo Al, que podem residir no disco rigido do computador, um virus pode 
tentar "assinar" um documento nao pretendido pelo usuario, daf a importancia do uso de 
dispositivos mais seguros de armazenamento, a exemplo dos "smart cards" e "tokens" 
criptograficos. A utilizacao de senhas "fortes", que possuam ao menos letras e numeros, nao 
relacionados ao usuario, e tambem um cuidado importante a ser observado. 

Por fim, no caso de uso de certificados para sigilo (do tipo SI a S4), o usuario deve 
guardar a sua chave privada mesmo apos a expiracao do correspondente certificado sob pena 
de nao conseguir acessar os dados cifrados no futuro. 

Qualifica^ao tecnica e capacitacao 

O esclarecimento mmimo das questoes tecnicas e conceitos que envolvem os 
servicos oferecidos por uma Infra-estrutura de Chaves Publicas e um requisite muito 
importante para que os usuarios utilizem corretamente a tecnologia, e assim, possam usufruir 
de seus beneffcios. Tao importante quanto o esclarecimento dos usuarios, e o treinamento e a 
qualificacao tecnica dos empregados e prestadores de servico das entidades que compoem 
uma hierarquia de certificacao. 

Hoje a grande maioria da populacao desconhece o que e a certificacao digital e as 
suas implicacoes praticas. Mesmo entre os tecnicos, ha poucas pessoas que dominam o 
assunto; e dentre essas pessoas ha diferentes nfveis de conhecimento, dada a complexidade 
que envolve todo o aparato tecnico de uma ICP. O investimento em capacitacao tecnica 
permitira que os setores da sociedade que estao ha mais tempo fazendo uso dessa tecnologia, 
como por exemplo o setor financeiro e alguns orgaos publicos, possam viabilizar novas 
aplica§oes e enfrentar os desafios que ainda existem para promover o uso da certifica§ao 
digital no Brasil. 

O surgimento de novas aplica§6es e servi§os que utilizem os certificados digitais, 
aliado ao investimento em capacita§ao tecnica, podem dar um novo impulso a populariza§ao 
dos certificados digitais. A qualifica§ao em tecnologia da informa§ao de uma forma geral, 
permite diminuir a exclusao digital, na medida em que pode ser uma forma de melhorar a 
condi§ao de vida da popula§ao brasileira, ajudando a superar um "apartheid" digital existente 
em varios setores da sociedade. 
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8.1.2. Questoes relacionadas a infra-estrutura 

Utiliza^ao de uma infra-estrutura e confianca nas chaves publicas 

Para certificar-se que um documento eletronico contem uma assinatura digital 
valida, faz-se necessaria a utilizacao da chave publica. Entretanto, caso esse documento seja 
enviado para outra pessoa juntamente com a chave publica para verifica§ao, nao mais e 
possfvel ter a garantia da integridade do documento em questao. Se um terceiro interceptar o 
documento e a chave publica durante o envio, e possfvel a alteracao do documento original e a 
geracao de uma nova chave publica a partir de uma chave publica qualquer. O destinatario 
final, utilizando-se da chave publica enviada, acreditara tratar-se do documento original. Esse 
tipo de ataque e denominado "man in the middle" [79]. 

A certifica§ao digital surgiu para evitar esse tipo de situa§ao. A Autoridade 
Certificadora possui registrada a chave publica do emissor do documento, podendo identificar 
como original, o documento inicialmente assinado. Dessa forma, basta ao destinatario 
conhecer a chave publica da Autoridade Certificadora, que possui notoriedade e publicidade, 
pois e utilizada para todas as assinaturas digitais emitidas pela mesma. A confian§a no 
documento eletronico, nesse caso, resume-se na confian§a e idoneidade da Autoridade 
Certificadora: tendo confian§a na Autoridade Certificadora, automaticamente confia-se no 
documento eletronico certificado por essa entidade. 

Interoperabilidade de software e hardware 

Por interoperabilidade pode-se entender a capacidade dos equipamentos e dos 
pro gramas utilizados em uma infra-estrutura, como por exemplo a ICP-Brasil, de 
comunicarem-se entre si independente de sua procedencia ou fabricante. Em um panorama 
ideal para uma infra estrutura de chaves publicas, a interoperabilidade seria a possibilidade de 
um usuario utilizar seu certificado digital para criar e verificar as assinaturas digitais, 
independente do fornecedor do programa ou do equipamento utilizado. 

Hoje, isso e um grande desafio. Apesar da existencia de normas como a ISO 7816 
e o padrao PKCS ("Public-Key Cryptography Standards"), grande parte dos leitores de 
"smart cards" nao sao intercambiaveis entre si e os "tokens" tambem nao possuem drivers 
compatfveis. Em muitas situacoes, um determinado cartao "smart card" nao conseguira ser 
lido por uma leitora de outro fabricante. Para que a certifica§ao digital possa atingir o 
crescimento desejado, ou seja, o servi§o fornecido tiver por escopo a coletividade, e 
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fundamental que haja um esforco de padroniza§ao dos instrumentos de software ou hardware. 
Assim, evita-se que as aplica§6es desenvolvidas e os servicos fornecidos aos usuarios nao 
fiquem com abrangencia limitada, o que afetaria diretamente a escalabilidade de uma infra- 
estrutura de chaves publicas. 

A Resolucao n° 36 de 21/10/2004, emitida pelo Comite Gestor da Infra-Estrutura 
de Chaves Publicas Brasileira, regulamentou o processo de homologacao de sistemas e 
equipamentos de certifica§ao digital no ambito da ICP-Brasil. Coube ao ITI, enquanto 
Autoridade Certificadora Raiz, a responsabilidade da condu§ao dessa atividade. Nesse 
interim, a ICP-Brasil apresenta um razoavel esforco para alcan£ar a interoperabilidade entre 
solu§oes de diversos fornecedores em um unico dominio, mas ainda e necessario que a mesma 
esteja preparada para estabelecer um modelo de atuacao com outros dormnios de ICP, sejam 
eles nacionais ou internacionais [80]. Parafraseando Peter Alterman [81]: "PKI 6 is no good if 
you are only talking to yourself', resume a importancia da padroniza§ao e interoperabilidade 
entre os dispositivos e aplica§oes envolvidos em uma infra-estrutura de chaves publicas como 
a ICP-Brasil. Por fim, a padroniza§ao e a interoperabilidade podem ser importantes elementos 
na reducao dos custos dos dispositivos de armazenamento utilizados pelos usuarios da 
certifica§ao digital. 

Auditoria 

Apesar da existencia da MP 2.200-2 que garante a validade juridica de um 
documento eletronico certificado pela ICP-Brasil, uma das grandes for§as que impulsionara o 
uso da certifica§ao digital e a confian§a nas entidades participantes por parte do usuario final. 
Nao havera lei que fara um usuario ter confian§a nas Autoridades Certificadoras (ACs), em 
especial na AC-Raiz. O usuario deve confiar no processo de obten§ao do seu certificado 
digital, na idoneidade dos softwares utilizados para criar e verificar as assinaturas digitais, nos 
dispositivos de armazenamento de sua chave privada, enfim, em todas as etapas necessarias a 
obten§ao e utiliza§ao de seu certificado digital. Essa confian§a nao pode ser imposta, tern que 
ser adquirida. Uma das formas de obter essa confian§a e a possibilidade da realiza§ao de 
auditorias externas com o objetivo de garantir transparencia aos processos envolvidos. 

Uma auditoria deve envolver avalia§oes independentes das polfticas da 
organiza§ao, da seguran§a dos seus ambientes ffsico e logico, dos procedimentos, dos padroes 



6 PKI e um acronimo em ingles de Private Key Infrastructure, equivalente a ICP em portugues. 
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e das praticas para salvaguarda das informacoes eletronicas evitando a perda, o dano, a 
indisponibilidade da informacao e a revelacao de informacoes sigilosas. 

A auditabilidade e fiscalizacao dos softwares utilizados na ICP-Brasil hoje e 
parcial e realizada pelo proprio Comite Gestor da ICP-Brasil (MP 2.200-2 art. 4°, Inc. IV). A 
plataforma utilizada para os servicos de certificacao e proprietaria e possui patentes, que os 
fornecedores tern chamado de "segredos de negocio", o que impede uma auditoria em seus 
codigos fonte. Porem, como ja foi citado anteriormente, o Brasil tern a intencao de 
nacionalizar a plataforma de software e hardware utilizados na ICP-Brasil atraves do "Projeto 
Joao-de-Barro" o que viabilizaria uma auditoria externa plena. 

Seguran^a fisica e logica da infra-estrutura 

Atualmente, no momento em que o conhecimento e a informacao sao fatores de 
suma importancia para qualquer organizacao, a seguranca da informacao e um pre-requisito 
indispensavel para todo e qualquer sistema de informacoes, principalmente para uma Infra- 
estrutura de Chaves Publicas (ICP). Uma ICP esta a merce dos mais variados tipos de 
ameacas, como fraudes, interrupcao dos servicos, revelacao de informacoes sigilosas, acessos 
nao autorizados, sabotagens, dentre outros. Para tratar essas amea§as, torna-se necessario a 
defini§ao de polfticas e mecanismos de seguran§a, visando dar suporte a preven§ao, detec§ao 
e contingencia de qualquer tipo de incidente. Com isso, e possfvel estar preparado para evitar 
fraudes, detectar tentativas de comprometimento da seguran§a e ate mesmo interromper um 
ataque ao sistema. A detec§ao e a interrup§ao de um ataque deve acionar um piano de 
contingencia, com o objetivo de avaliar e reparar danos, alem de manter a operacionalidade 
dos servigos disponfveis aos usuarios. 

A seguran§a ffsica inclui um ambiente ffsico apropriado como uma sala cofre para 
abrigar os computadores e equipamentos de rede como "switches", roteadores e dispositivos 
de armazenamento de dados. A seguran§a ffsica tambem inclui a prote§ao da infra-estrutura 
das redes de telecomunica§ao e energia, prevendo riscos como incendios, inunda§oes e 
manifesta5oes. 

A seguran§a logica e tao importante quanta a seguran§a fisica do ambiente. A 
seguran§a logica inclui o controle de acesso e prote§ao dos recursos computacionais, uso de 
"firewalls" e IDS ("Intrusion Detection Systems"), gerenciamento de vulnerabilidades, 
registros de "logs", prote§ao de dados sigilosos, polftica de "backup", piano de recupera§ao 
de desastres, auditoria e seguran§a dos equipamentos e programas utilizados. 
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8.1.3. Questoes relacionadas aos softwares utilizados 

Utilizacao de algoritmos comprovadamente seguros 

Alguns algoritmos de criptografia assimetrica sao sabidamente inseguros e isso ja 
foi comprovado com ataques praticos. Como exemplo podemos citar o algoritmo de Merkle- 
Hellman [82] baseado no problema de Knapsack, que foi quebrado por Adi Shamir [83], 
alguns anos apos a sua criacao. Entretanto, os algoritmos mais utilizados atualmente, o DSA e 
o RSA sao considerados computacionalmente seguros. O NIST tern constantemente revisado 
o padrao DSS (Digital Signature Standard) e espera-se em breve o anuncio do FIPS 186-3, 
que possibilitara a utilizacao dos algoritmos de "hashing" SHA2 (SHA-256, SHA-384, SHA- 
512) com o algoritmo DSA. Uma variacao de utilizacao do DSA utiliza curvas elfpticas 
(ECDSA), o que possibilitaria o uso de chaves de menor tamanho, com o mesmo nfvel de 
seguranca. Porem, a utilizacao de curvas elfpticas para algoritmos assimetricos e um assunto 
relativamente recente, embora ja esteja em andamento sua aprovacao para uso com o padrao 
DSS [84]. 

Em relacao a criptografia simetrica a recomendacao e a utilizacao do AES 
(Advanced Encryption Standard) - Rijndael, com tamanho de chave de pelo menos 128 bits. 
Em razao de ataques conhecidos como "birthday attack" e "meet in the middle", SCHNEIER 
e FERGUSON [29], sendo um pouco conservadores ao tratar do assunto, recomendam como 
uma regra de projeto que "para um nivel de seguranga de n bits, considere a utilizacao de 
pelo menos 2n bits". Assim, e recomendada a utilizacao de 256 bits como tamanho de chave 
para qualquer algoritmo de cifragem com requisito de 128 bits. Adicionalmente, todos os 
finalistas do concurso para escolha do AES, sao algoritmos considerados muito seguros, em 
particular o algoritmo Serpent, considerado o "mais seguro" em razao do seu carater 
conservador. Nao foi escolhido como AES em razao de ter sido considerado lento 
(equivalente em velocidade ao DES) e nao tao flexfvel quanto o algoritmo Rijndael (AES) 
[29]. 

Ainda em relacao a seguranca dos algoritmos, a geracao de chaves e muito 
importante para a seguranca das funcoes criptograficas. A mesma pressupoe a utiliza§ao de 
um gerador de numeros randomicos. A dificuldade de obten§ao de dados randomicos reais, 
faz com que na pratica, sejam utilizados numeros pseudo-randomicos, computacionalmente 
seguros e gerados a partir de dados randomicos. E importante observar, que os numeros 
pseudo-randomicos nao podem ser previsfveis e devem possuir o maximo de entropia, sob 
pena de comprometimento da seguran§a. E classico o exemplo da quebra da criptografia do 
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navegador Netscape em sua versao 1.1 [30], onde uma chave de 128 bits na verdade continha 
cerca de 20 bits de entropia, o que tornava a seguranca do algoritmo nao melhor do que uma 
chave de 2 20 . 

Algoritmos utilizados na ICP-Brasil 

Os documentos de REQUISITES MINIMOS PARA AS POLITICAS DE 
CERTIFICADO NA ICP-BRASIL (DOC-ICP-05) e PADROES E ALGORITMOS 
CRIPTOGRAFICOS DA ICP-BRASIL (DOC-ICP-01.01), ambos vinculados a resolucao n° 
42 de 2006 da legislacao da ICP-Brasil, estabelecem a utilizacao do algoritmo RSA de 2048 
bits para geracao de chaves assimetricas de uma AC; para o usuario final o tamanho varia de 
1024 a 2048 bits de acordo com o tipo de certificado utilizado (de 1 a 3 - 1024 bits, 4 - 2048 
bits), conforme ja apresentado na Tabela 6.1 no capftulo 6 deste trabalho. A funcao de 
"hashing", de acordo com as normas, seria a implementacao do SHA-1. A utilizacao desses 
algoritmos e chaves pode ser considerada adequada em razao dos algoritmos SHA-2 ainda 
nao terem sido lancados como padrao pelo FIPS. Os algoritmos utilizados pela ICP-Brasil 
devem ser periodicamente atualizados, em razao da evolucao constante da tecnologia. Em 
particular, a criacao de eficientes algoritmos de fatoracao e o surgimento de novas tecnicas de 
criptoanalise nao podem ser menosprezados [31]. 

Com relacao aos algoritmos simetricos utilizados para cifragem da chave privada 
da entidade titular e de seu "backup", as resolucoes da ICP recomendam a utilizacao do 3DES 
(168 bits), do IDEA e do SAFER+, esses dois ultimos com 128 bits. Deixando o preciosismo 
de lado, em razao do AES estar disponfvel ha mais de 5 anos, o mesmo poderia ter sido 
indicado ao menos como opcao de algoritmo criptografico simetrico a ser utilizado no ambito 
da ICP-Brasil. 

Justifica-se: 1) O 3DES, em razao do ataque "meet in the middle" possui uma 
efetiva seguranca equivalente a 112 bits em vez dos 168 bits que compoe as suas 3 chaves 
[85]. Em razao de seu projeto, o DES, e em conseqiiencia o 3DES, nao tern boa performance 
na implementacao atraves de software. O AES tende a ser cerca de 6 vezes mais rapido, alem 
de ter uma margem de seguranca bem maior: tamanho de bloco maior (128 bits x 64 bits do 
DES), possibilidade de uso de chaves de 128, 192 e 256 bits, sendo resistente a criptoanalise. 
2) O IDEA {International Data Encryption Algorithm) concebido no infcio dos anos 90 usa 
tambem um bloco de 64 bits e, ate o ano de 2004, o melhor ataque conhecido para qualquer 
chave conseguiu quebrar 5 rodadas ("rounds") de um total de 8,5 [86]. SCHNEIER, ja em 
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1999, nao mais recomendava o seu uso em razao da disponibilidade de algoritmos mais 
rapidos, progressos na area de criptoanalise e tambem pela existencia de patentes do 
algoritmo IDEA ate o ano de 2011 [86]. 3) O SAFER+, de 1998, tern bloco de 128 bits e e 
baseado no algoritmo SAFER K-64 (Secure And Fast Encryption Routine) originalmente 
proposto em 1993. Foi submetido para o concurso de escolha do AES e nao foi escolhido 
entre os finalistas [87]. Entao por que nao optar pelo AES, que inclusive e disponfvel sem 
custos para utilizacao em qualquer proposito ? Fica a questao. 

Em 2004, foi lancado no Brasil um projeto denominado "Projeto Joao-de-Barro", 
com o objetivo de criar um modulo criptografico (software e hardware) para a emissao das 
chaves publicas e privadas das Autoridades Certificadoras integrantes da ICP-Brasil. A ideia e 
nacionalizar a plataforma, desenvolvendo tecnologia propria atraves da utilizacao de software 
livre. Alem do ITI, participam do projeto diversas entidades, entre elas a UFSC (Universidade 
Federal de Santa Catarina), o ITA (Instituto Tecnologico da Aeronautica) e o CASNAV 
(Centro de Analises de Sistemas Navais). No 4° CertForum [88], realizado entre 8 e 10 de 
agosto de 2006 em Brasilia, foi apresentado o software de gerenciamento de certificado 
digitais desenvolvido pela UFSC. A partir de setembro, comeca a integracao com o hardware 
que esta sendo desenvolvido pelo ITA. 

Atualmente, a plataforma que produz e viabiliza toda a cadeia de certifica§ao 
brasileira pertence a uma empresa multinacional, com software proprietario o que inviabiliza 
sua auditoria plena. 

Qualidade do software 

A implementacao de um algoritmo comprovadamente seguro nao deve possuir 
erros ou falhas que possam dar a chance de algum tipo de ataque ou comprometimento da 
seguranca do software utilizado. De nada adianta a utilizacao de um algoritmo 
comprovadamente seguro em uma implementacao fraca e com erros de programacao. No caso 
das assinaturas digitais, nao se pode esquecer de que e necessario um software que realize os 
procedimentos necessarios para efetivar a assinatura em um documento eletronico. A 
comprova§ao da qualidade do software e aderencia a especifica§ao dos algoritmos 
implementados e uma tarefa diffcil de ser comprovada, uma vez que a maioria deles e 
proprietario e muitas vezes protegidos por patentes. 
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Nesse sentido, cabe ressaltar a importancia do ITI ter colocado a disposicao da 
sociedade, sob a licenca GPL/GNU 1 , tres aplicativos desenvolvidos por meio de licitacao 
publica, conforme publicado no Diario Oficial da Uniao do dia 28/06/2005, na forma da 
Portaria n° 41. A Certisign desenvolveu o Assinador Digital e coube a Modulo Security a 
responsabilidade sobre o Modulo PAM e o Chaveiro Digital [89]. A possibilidade de ter 
acesso ao codigo fonte desses aplicativos e muito importante, pois permite que empresas e 
usuarios possam contribuir para melhoria do software, em especial nas questoes relacionadas 
a seguranca e qualidade das aplicacoes disponibilizadas. A seguir sao apresentadas as 
principais caracteristicas dos programas disponibilizados. 

O PAM ("Pluggable Authentication Module") permite a utilizacao de um 
certificado digital na autenticacao de usuarios em uma rede de computadores, em substituicao 
ao tradicional par de usuario e senha. O Chaveiro Digital realiza a tarefa de assinatura e 
cifragem de mensagens enviadas por meio de correio eletronico, alem de possibilitar o acesso 
as funcionalidades dos navegadores de Internet na requisicao de servicos com certificacao, 
suportando "smart cards" e "tokens". Por fim, o Assinador Digital e uma interface grafica 
padrao KDE que permite a assinatura e encriptacao de qualquer arquivo digital. A aplicacao 
possibilita, ainda, a execucao de tarefas comuns relacionadas a certificacao digital, como a 
gestao de chaves e listas de certificados revogados, permitindo inclusive o uso de certificados 
cujas chaves estejam armazenadas em "smart cards" ou "tokens". 

Aqui cabe uma critica construtiva em relacao a disponibilizacao dos aplicativos 
acima citados. Segundo pesquisa da Fundacao Getulio Vargas [90], em abril de 2006, o Brasil 
possufa 32 milhoes de computadores desktop, e destes, 97% utilizavam o sistema operacional 
Windows da Microsoft. 

Ja que um dos objetivos do ITI e disseminar a cultura e a utiliza§ao da certifica§ao 
digital, e diffcil entender por que motivo tambem nao foram disponibilizados os programas 
para a plataforma Windows, que o ITI generaliza denominando-os de "plataforma 
proprietaria", e afirma ja ter portado as bibliotecas utilizadas no desenvolvimento das 
aplica§oes acima citadas. 

Programas e tipos de documentos assinados 



7 GPL e uma Licen?a Publica Geral que da liberdade de distribuir e alterar um sofware, garantindo que o 
mesmo sera livre e gratuito para os seus usuarios. 
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Muito se tern falado a respeito da utilizacao de assinaturas digitais e a garantia de 
autenticidade e integridade que as mesmas fornecem a um documento eletronico digital. 
Qualquer tipo de documento ou arquivo pode ser efetivamente assinado, uma vez que em 
ultima analise todos sao compostos por um conjunto de bits 0 ou 1. Se o arquivo for assinado 
por um certificado emitido pela ICP-Brasil, tera entao a garantia de sua autenticidade, 
integridade e validade juridica de acordo com as disposicoes da MP 2.200-2. Entretanto, um 
documento eletronico precisa de um computador e de um pro grama para ser visualizado. E a 
partir dessa visualiza§ao que o usuario ira, a partir da sua chave privada, aplicar a sua 
assinatura digital com a utilizacao de um software apropriado. Essa situa§ao faz com que 
exista a possibilidade de um usuario estar assinando algo diferente daquilo que ele ve 
representado na tela do computador, uma vez que a assinatura e realizada sobre um conjunto 
de bits e nao sobre o resultado efetivamente visualizado pelo usuario. Para que isso aconteca 
na pratica, e necessario que o programa utilizado para visualizar o documento seja 
modificado, de modo que a visualizacao seja diferente dos bits que estao efetivamente 
armazenados. 

Isso pode parecer utopico e diffcil de acontecer. Porem, deve-se lembrar que hoje 
utilizamos complexos programas de editoracao de textos, como por exemplo o Word da 
Microsoft e o Writer do OpenOffice. Ambos possuem linguagens de macro incorporadas e 
capacidade de cria§ao de campos calculados que podem buscar dados fora do documento 
original, inclusive de qualquer lugar na internet. Entao vamos imaginar a situa§ao em que o 
nome do usuario ou a data escrita em um documento seja um campo calculado. O usuario 
estara assinando aquilo que ele ve na tela, mas isso pode nao representar aquilo que esta 
gravado efetivamente no conjunto de bits assinado. Um campo calculado pode aceitar uma 
infinidade de formulas: pode-se fazer com que o nome de uma pessoa seja alterado a partir de 
determinada data; ou tambem, incrementar uma data futura representada no momento da 
assinatura, de modo que a mesma nunca seja alcan§ada. O que deve ficar claro aqui e que o 
campo calculado conforme representado no documento nunca seria alterado; o que muda e 
somente a sua visualizacao, ou seja, aquilo que e apresentado para usuario. Isso permite que 
um documento possa ser exibido de divers as formas, sem que a sua assinatura digital seja 
invalidada. Essas alteracSes na exibicao de um documento podem ser detectadas por meio de 
uma pericia, mas mesmo nesse caso, talvez nao seja mais possivel obter o conteudo original 
do documento no momento de sua assinatura. 
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Outra situacao que pode invalidar uma assinatura e a alteracao de metadados 
existentes nos documentos assinados. Metadados sao informa§6es adicionais sobre um 
documento, incorporadas automaticamente pelo editor de textos utilizado. Exemplos de 
metadados sao o nome do usuario que criou o documento, a data de sua ultima modifica§ao, a 
data de sua ultima impressao, o nome da empresa para qual o programa esta registrado, etc. 
Uma simples impressao de um documento assinado digitalmente pode alterar o metadado que 
contem a data da ultima impressao; com a modifica§ao do conteudo do documento assinado a 
assinatura digital e automaticamente invalidada. 

Essa questao nao e um problema das assinaturas digitais em si, muito menos do 
modelo de infra estrutura de chaves adotado (seja a ICP-Brasil ou qualquer outra). E 
simplesmente decorrente das varias maneiras que um documento eletronico pode ser 
apresentado e dos diversos programas que podem ser utilizados para a sua visualiza§ao. Com 
certeza, essa e uma questao muito importante para a popularizacao das assinaturas digitais. O 
tipo de documento a ser assinado, a confian§a nos diversos programas utilizados - tanto para 
sua cria§ao como para aposi§ao de uma assinatura digital - ainda deverao ser amplamente 
discutidos ate que a certifica§ao digital tenha ampla aceitacao e utiliza§ao pela sociedade. 

A LCR e o risco dos certificados auto-assinados 

As listas de certificados revogados (LCRs) sao parte necessaria e imprescindrvel a 
operacao adequada de qualquer infra estrutura de chaves ptiblicas. O comprometimento da 
chave privada, erros na emissao ou gerenciamento das chaves sao exemplos de situacoes reais 
onde o certificado deve ser revogado. A possibilidade de ocorrencia da revogacao faz com 
que a verifica§ao de sua validade seja um passo obrigatorio para que um certificado revogado 
nao seja aceito como valido. Garantir que a LCR esteja correta e atualizada e muito 
importante. Para a LCR ser efetiva, precisa estar sempre disponfvel (na Internet, por 
exemplo) e os programas utilizados para verifica§ao dos certificados devem sempre utiliza-la, 
o que nem sempre acontece. 

Uma alternativa ao uso das listas de certificados revogados e a utilizacao do 
protocolo OCSP ("Online Certificate Status Protocol"), que permite a verifica§ao "on-line" 
da validade de um certificado evitando assim a necessidade de se obter sempre a LCR atual, 
que pode ser relativamente grande. A utiliza§ao do OCSP traz outras vantagens, como a 
tempestividade e a redu§ao de custos, ja que nao se tern o onus relacionado a atualiza§ao, 
gerenciamento e distribui§ao freqiiente da LCR. Alem disso, o uso de um protocolo de 
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consulta evita a exposicao desnecessaria do nome de todos os usuarios com certificado 
revogado. 

Outra questao diz respeito aos certificados auto-assinados. Eles sao importantes 
pois finalizam a cadeia de certificacao e sao considerados mtegros, inclusive podendo assinar 
outros certificados. O certificado da ICP-Raiz e um certificado auto-assinado. Entretanto, 
qualquer pessoa, a partir de um software de ICP (existem versoes gratuitas), tern a 
possibilidade de gerar certificados auto-assinados com qualquer informacao desejada. O 
usuario ao receber um certificado auto-assinado recebera um alerta de que o certificado e de 
uma AC nao confiavel, embora tenha a opcao de instala-lo, "habilitando a confianca" em 
qualquer certificado emitido por esta AC. 

Supondo que o usuario ira utilizar o certificado a partir de um navegador Internet 
(o Internet Explorer, por exemplo), o problema reside na possibilidade de um certificado auto- 
assinado de uma AC ser instalado externamente ao navegador, sem o conhecimento do 
usuario [91]. Essa possibilidade existe uma vez que o certificado pode residir com uma chave 
no registro do Windows ou um arquivo no sistema de arquivos. Dessa forma, um software 
mal intencionado, do tipo cavalo de troia [92], pode instalar o certificado sem o 
consentimento e conhecimento do usuario. A partir desse ponto, qualquer certificado emitido 
por essa "falsa" Autoridade Certificadora, aparecera para o usuario como um certificado 
emitido por uma autoridade confiavel. Dessa constatacao, recomenda-se que o usuario sempre 
confirme a legitimidade dos certificados instalados em seu computador e adote as medidas 
mmimas de protecao para o seu sistema operacional como a utilizacao de antivirus, 
"antispyware" e "firewall" [92], mantendo-os sempre atualizados. 

8.1.4. Consideragoes 

Uma infra-estrutura de certificacao digital possui diversos aspectos tecnicos com 
variados graus de complexidade. Nesse contexto, estao envolvidas pessoas, programas 
sofisticados e a propria estrutura necessaria para o funcionamento dessa tecnologia. O usuario 
comum, apesar de ter responsabilidades (a guarda e o sigilo de sua chave privada talvez seja a 
principal delas), tern muito pouco controle em relacao a complexidade que envolve uma ICP. 
Ele deve confiar em quern emitiu o seu certificado digital e se respaldar na responsabilidade 
das ACs e ARs em responder civilmente pelos danos causados em razao de erros ou fraudes 
na prestacao do servico de certificacao digital. Como por exemplo, podemos citar aqueles 
decorrentes de uma identificacao falsa ou de eventual revogacao retroativa de um certificado. 
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A seguir, sera apresentado um exemplo pratico de como poderia acontecer um processo de 
contrata£ao eletronica, comparando-o com uma situa§ao tradicional. 

8.1.5. Exemplo Pratico 

Este item ira mostrar um exemplo pratico de como poderia funcionar um processo 
ou fluxo de contrata§ao eletronica (Figura 8.2). Parte-se da premissa que ambos os 
contratantes ja possuem os seus respectivos certificados digitais e as chaves privadas 
armazenadas em dispositivos do tipo "smart card\ Sera realizada uma breve compara§ao 
com um contrato tradicional da forma como e realizado hoje com o reconhecimento de firma 
e da assinatura em um cartorio tradicional (Figura 8.1). 




Na assinatura de um contrato tradicional, as clausulas sao discutidas entre as 
partes, conforme indica o passo 1 da Figura 8.1. Apos acertadas as clausulas do contrato, o 
contratante, nesse exemplo denominado de cliente e a contratada (empresa), devem se dirigir 
a um cartorio a fim assinarem de proprio punho o contrato e apos proceder o reconhecimento 
das respectivas firmas (assinaturas), garantindo assim a autenticidade e legitimidade do 
conteudo do contrato (passos 2 e 3 da Figura 8.1). 
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Em uma contratacao eletronica, tambem denominando os contratantes de cliente e 
empresa, conforme exposto anteriormente, os seguintes passos sao realizados (Figura 8.2): 



1. As clausulas do contrato sao acertadas semelhante a contratacao tradicional, 
com a facilidade da troca eletronica de arquivos e mensagens; 

2. A empresa, para proceder a assinatura digital do contrato, utiliza-se de um 
software para cifrar o "resumo" (hash) do documento com sua chave privada. 
Submete esse "resumo" a uma Autoridade de Carimbo de Tempo (TSA - Time 
Stamping Authority) que ira devolver o "resumo" assinado e protocolado com 
o horario da assinatura. 

3. De posse desse "protocolo" o software de assinatura termina o processo de 
assinatura digital do contrato e o envia para o cliente. 

4. O cliente confere, em uma Autoridade Certificadora (AC), se o certificado nao 
foi revogado (verificando a LCR) e a idoneidade da chave publica 
correspondente a chave privada usada na assinatura feita pela empresa. 

5. O cliente tambem entra em contato com uma Autoridade de Carimbo de 
Tempo (TSA) e recebe o correspondente protocolo, de forma identica ao item 
2 realizado pela empresa. 

6. De posse do protocolo, o cliente tambem termina o processo de assinatura 
digital iniciado com seu software e sua chave privada. 

7. O contrato agora possui duas assinaturas digitais validas e a empresa tambem 
pode conferir a assinatura do cliente e a LCR atraves da Autoridade 
Certificadora. O contrato tambem pode ser verificado, assinado digitalmente 
por um tabeliao e armazenado em um repositorio, aqui denominado de cartorio 
virtual. 



A grande vantagem do contrato assinado digitalmente e a nao necessidade dos 
contratantes de se encontrarem fisicamente e comparecerem a um cartorio tradicional, uma 
vez que todo o processo pode ser realizado pela Internet. Essa caracteristica e especialmente 
util para a utilizacao no comercio eletronico realizado em uma loja virtual na Internet, por 
exemplo. Garante a identidade dos participantes (comprador e vendedor), a integridade do 
contrato e a tempestividade - requisites esses indispensaveis a obtencao da validade juridica 
de uma contratacao virtual. 
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Empress 

Figura 8.2 - Fluxo de contratacao atraves de um documento com assinatura digital 



8.2. ANALISE LEGAL 

No item anterior, foram analisados diversos aspectos tecnicos relacionados a 
utilizacao de documentos eletronicos de forma idonea e segura. Com os princfpios 
estabelecidos pela criptografia assimetrica, foi possfvel obter um metodo de garantir a 
integridade e a autenticidade de tais documentos ou mensagens em formato digital, desde que 
tomadas as devidas precau§5es em relacao ao uso correto da tecnologia, sem desconsiderar os 
varios elementos coexistentes em uma infra-estrutura de certifica§ao digital. 

Como em qualquer situa§ao de vanguarda tecnologica, a utilizacao de assinaturas 
digitais embora tecnicamente viavel, no Brasil ainda carece de uma base legal solida. Embora 
as assinaturas eletronicas ja estejam sendo utilizadas na pratica, a legisla§ao relacionada ao 
tema ainda nao conseguiu acompanhar o mesmo ritmo da evolu§ao tecnologica. 

Nesta se§ao, sera analisada a validade juridica dos documentos eletronicos, em 
especial aqueles assinados eletronicamente atraves do uso de assinaturas digitais e certifica§ao 
digital. Tambem sera realizada uma analise critica da legisla§ao atual existente no Brasil, 
incluindo Medidas Provisorias, Projetos de Lei em tramita§ao e questoes relevantes que nao 
foram mencionadas nas proposi§6es. As principais proposi§oes citadas no Capftulo 7 serao 
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comentadas e analisadas de forma que ao final dessa secao sera possfvel compreender por que 
motivo muitas delas acabam sequer sendo apreciadas, inviabilizando totalmente a sua 
aprovacao ou ate mesmo rejeicao perante o Processo Legislative Em especial, a discussao 
tera uma enfase maior nos PL 1.589 (pelo seu carater tecnico e juridico), nas varias versoes da 
MP 2.200 e no PL 7.316, uma vez que este ultimo tern a intencao de substituir a MP 2.200-2. 
O mesmo ja possui parecer favoravel na CCJC na forma de um substitutivo apresentado pela 
CCTCI - Comissao de Ciencia e Tecnologia, Comunicacao e Informatica. O texto completo 
do PL 7.316 foi consolidado e atualizado de acordo com todas as emendas propostas e 
aprovadas pelas comissoes e pelo relator, nos termos do substitutivo da CCTCI. Assim, 
constitui-se na mais atual proposicao em tramitacao no Congresso com respeito a 
normalizacao das disposicoes aplicaveis a certificacao e assinatura digital. 

O texto integral de todos os Projetos de Lei, Decretos e Medidas Provisorias 
apresentadas e discutidas neste capftulo encontra-se no Anexo I. 

8.2.1. A validade juridica do documento eletronico e o novo Codigo Civil 

O conceito de documento, tambem o eletronico, nao esta vinculado a existencia de 
uma assinatura aposta. Segundo GAIGER FERREIRA, "A quase totalidade dos documentos 
esta apocrifa, nem por isso sem autoria ou sem valor juridico" [93]. 

O novo Codigo Civil de 2002 (Lei n° 10.406 de 2002), apesar de nao mencionar 
nenhum preceito disciplinando a certificacao digital, ampara totalmente os documentos 
eletronicos, pois os mesmos podem receber qualquer fato juridico da mesma forma que os 
documentos tradicionais. As assinaturas eletronicas nao sao assinaturas no sentido formal e 
legal, mas hoje sao bastante populares e aceitas pela sociedade. De acordo com a nossa 
legisla§ao "nao ha forma especial para exprimir a vontade, quando a lei nao exigir 
expressamente" (art. 107 do Codigo Civil de 2002). Ja as assinaturas digitais sao distintas das 
assinaturas eletronicas - sao assinaturas formais por disposi§ao legal (art. 1°, MP 2.200-2) e 
por ter amparo na tecnica de criptografia assimetrica, o que garante os requisites de 
autenticidade e integridade. O Novo Codigo Civil tambem dispoe em seu art. 219 que "as 
declaragdes constantes de documentos assinados presumem-se verdadeiras em relagao aos 
signatdrios" , texto identico ao do art. 131 do Codigo de 1.916. Tambem o art. 225, dispoe que 
"as reproducoes fotogrdficas, cinematogrdficas, os registros fonogrdficos e, em geral, 
quaisquer outras reproducoes mecanicas ou eletronicas de fatos ou de coisas fazem prova 
plena destes, se a parte, contra quern forem exibidos, nao Ihes impugnar a exatidao". 
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O contrato eletronico esta sujeito a todas as normas previstas no Codigo Civil. 
Assim, de acordo com o art. 104, a validade do negocio juridico eletronico requer agente 
capaz, objeto Hcito e forma nao vedada em lei. Os contratos de adesao, tipicamente utilizados 
na Internet, tern previsao legal no art. 424, acrescentando que "e Ucito as partes estipular 
contratos atipicos, observadas as normas gerais fixadas neste Codigo" (art. 425). De acordo 
com o art. 187, e ato ilfcito o exercfcio de um direito alem dos limites impostos pelo seu fim 
economico ou social, pela boa-fe ou pelos bons costumes. Isso tambem nao exclui as 
hipoteses de invalidade prevista nos artigos de numero 166 a 184. A incapacidade de uma das 
partes torna nulo o negocio juridico. A capacidade relativa ou o erro - freqiiente em negocios 
feitos a distancia - podem dar causa a anulacao (art. 171) [93]. 

Para se garantir a validade do negocio juridico realizado de forma eletronica, a 
utilizacao e popularizacao dos certificados digitais atendera a identificacao e a capacidade 
(agente capaz) para a realizacao de uma contratacao (requisito autenticidade). Atraves da 
assinatura digital e da utilizacao de uma infra-estrutura de chaves publicas, pode-se garantir a 
nao adulteracao do contrato eletronico a partir da comparacao entre os "resumos" (hash), 
como foi demonstrado nos capftulos 5 e 6 desse trabalho (requisito integridade). 
Adicionalmente, a utilizacao de uma Autoridade de Datacao ou carimbo de tempo, possibilita 
saber com exatidao a data e hora em que o documento foi assinado digitalmente (requisito 
tempestividade). 

Os documentos eletronicos e a sua possibilidade de contratacao "virtual", 
constituem uma nova realidade que surgiu naturalmente do avanco tecnologico da sociedade 
em que vivemos. Cabe ao Direito o desafio de acompanhar a inovacao tecnologica, 
disciplinando e normatizando a certifica§ao digital e a utiliza§ao de documentos eletronicos 
nos negocios juridicos. Para que se produzam os efeitos previstos nos artigos 219 e 221 do 
novo Codigo Civil, as assinaturas digitais devem seguir os requisitos previstos na MP 2.200-2 
de 2001 e no PL 7.316 de 2002, caso o mesmo venha a substituf-la. 

8.2.2. A Legislagao e as Proposigoes comentadas 

Os Projetos de Lei inicialmente discutidos, tratam o assunto de documentos 
eletronicos e sua integridade de maneira muito simplista (PL 2.644) ou atraves de conceitos 
equivocados e obsoletos (PL 3.173 e 4.734). O PL 1.532 guarda semelhan§a com a legisla§ao 
a respeito da utiliza§ao de microfilmes, que sao muito diferentes dos documentos eletronicos 



85 



digitais. Com os conceitos equivocados, e claro que fica muito diffcil garantir a integridade e 
"indelebilidade" (sic) dos documentos eletronicos, conforme citado nos PL 3.173 e 1.532. 

No entanto, o PL 1.483 teve o merito de ter iniciado uma discussao acerca da 
utilizacao da fatura eletronica e da assinatura digital, ja indicando que o comercio eletronico e 
a validade juridica dos documentos eletronicos poderiam estar bastante relacionados. O PL 
1.589 trata de ambos os assuntos - assinatura digital e comercio eletronico. Desenvolvido pela 
OAB, tern um bom detalhamento tecnico e juridico, bem superior as iniciativas anteriores. Os 
Projetos 1.483 e 1.589, dentre outros, foram apensados ao PL 4.906 de 2001 que trata de 
comercio eletronico e baseia-se na lei modelo da UNCITRAL. Nesse cenario, o Comite 
Executivo de Comercio Eletronico criado em 2000, aprova sua primeira resolucao em agosto 
de 2001, especificando os coordenadores dos sub-comites, dentre outras providencias. Porem, 
o comite teve resultados mfimos e o projeto esta parado na Mesa Diretora da Camara dos 
Deputados desde o final de 2001. 

Com a experiencia anterior da ICP-Gov, o Governo edita em 2001 a MP 2.200 
instituindo a Infra-Estrutura de Chaves Publicas Brasileira (ICP-Brasil), com o objetivo 
principal de garantir a autenticidade, a integridade e a validade juridica de documentos em 
forma eletronica. A Medida Provisoria 2.200 de 2001, com redacao confusa e alguns artigos 
controversos, chega a ser reeditada por duas vezes (MP 2.200-1 e MP 2.200-2). Em razao da 
EC 32 de 2001, atualmente a MP 2.200-2 vigora com forca de lei. 

Ao final de 2002, o Poder Executivo tentou melhorar a MP 2.200 e tambem 
disciplinar o uso de assinaturas eletronicas e a prestacao dos servicos de certificacao com o 
PL 7.316, um texto muito mais claro e abrangente que a Medida Provisoria em vigor. Sem 
duvida, foi um projeto muito discutido e inclusive ja possui um substitutivo com parecer 
favoravel que encontra-se parado desde o final de 2005 na CCJC. 

Quanto ao comercio eletronico, apenas no final de 2004, apos um longo periodo 
sem debates, o Congresso Nacional e o governo retomaram a discussao sobre a 
regulamentacao do comercio eletronico no Pais, com a reinstalacao do Comite Executivo de 
Comercio Eletronico. Infelizmente, com a instauracao da CPI dos Correios em 2005, iniciou- 
se uma longa crise polftica que ainda nao chegou ao fim. 

Ainda em 2005, o Senador Pedro Simon, propos projeto semelhante aos projetos 
1.532 e 3.173, no entanto mais coerente e e apoiado na MP 2.200-2, a fim de garantir 
autenticidade e valor juridico aos documentos eletronicos no ambito dos orgaos publicos 
federais, estaduais e municipais. Outra iniciativa que vale mencionar esta relacionada a 
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inclusao do e-mail como prova documental, estabelecendo a presuncao de sua autenticidade 
(PL 6.693 de 2006). 

A seguir sera realizada uma analise mais detalhada das proposicoes anteriormente 
citadas no Capftulo 7. 

PROJETO DE LEI DA CAMARA N° 2.644 DE 11 DE DEZEMBRO DE 1996 

O projeto 2.644 da Camara dos Deputados dispoe sobre a elaboracao, o 
arquivamento e o uso de documentos eletronicos. Esse projeto de lei foi a primeira iniciativa 
legislativa diretamente relacionada a questao dos documentos eletronicos. Excluindo-se os 
artigos 7 e 8 que tratam respectivamente da data de entrada em vigor da lei e da revogacao das 
disposi§6es em contrario, este projeto possui seis artigos referentes ao tema documento 
eletronico. O art. 1° define de forma generica um documento eletronico. Ja o art. 2° tenta 
estabelecer o conceito de documento original e de seus requisitos mencionando o uso de 
assinatura eletronica. Esse projeto nao deixa claro o que se pode considerar uma assinatura 
eletronica, bem como quais seriam os seus requisitos e como poderiam ser garantidas a 
autenticidade e a integridade tambem mencionadas nesse artigo. O art. 4° preve a 
possibilidade de copia fiel em papel, sem mencionar os meios que poderiam assegurar a sua 
integridade. O art. 5°, por sua vez, trata da obscura figura do "administrador de recursos 
computacionais" e o art. 6° das penalidades envolvidas no tratamento dos documentos 
eletronicos. 

Percebe-se de maneira geral, um projeto muito simplista e abstrato para um tema 
relativamente complexo. Alem disso, e distante do cidadao comum, com pouca contribui§ao 
para a populariza§ao do uso dos documentos eletronicos que tenta normatizar. 

PROJETO DE LEI DO SENADO N" 3.173 DE 26 DE MAIO DE 1997 

Esse projeto e originario do PLS - 22 de 1996 e dispoe sobre os documentos 
produzidos e arquivados em meio eletronico. Autoriza o arquivamento eletronico de 
documentos por empresas privadas e orgaos da Administracao Publica, desde que utilizado 
um sistema de gerenciamento eletronico (para busca e indexacao) e determina tambem que o 
arquivamento seja regulamentado por decreto especffico. Ao mesmo tempo em que faculta a 
eliminacao dos originais arquivados eletronicamente (art. 1°, § 2) dispoe que "as duvidas 
sobre as reprodugdes obtidas do acervo eletronico deverdo ser dirimidas [...] pelos 
respectivos originais". Ainda no art. 1°, o paragrafo 3 afirma que "o meio eletronico utilizado 
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deverd garantir a autenticidade, a indelibilidade (sic) e a confidencialidade dos documentos 
[...]". 

Ao obrigar (art. 2°, § 1) a utilizacao de um sistema de indexacao, esse projeto com 
certeza ja encontra resistencia principalmente no ambito privado. Ao tentar garantir os 
requisitos de integridade, autenticidade e confidencialidade de forma equivocada, atraves do 
meio utilizado, nos remete as "tentativas iniciais de obtencao de um documento eletronico 
imputavel", assunto bastante discutido no Capftulo 3 desse trabalho. Atualmente, esse projeto 
encontra-se na Mesa Diretora da Camara dos Deputados, com recurso de solicita§ao para 
aprecia§ao no Plenario desde 2001 e tern grandes chances de nao ser apreciado pelo seu 
carater equivocado e obsoleto. 

PROJETO DE LEI DA CAMARA N° 4.734 DE 12 DE AGOSTO DE 1998 

Esse projeto de lei visa incluir um artigo (art. 7A) a lei n° 6.015 de 31 de dezembro 
de 1973, mais conhecida como Lei de Registros Publicos. Esse artigo faculta a utilizacao de 
discos opticos ou optomagneticos para escritura§ao dos registros publicos, sem prejufzo a 
utilizacao dos metodos tradicionais. E de se considerar importante a informatizacao dos 
registros publicos, inclusive os de escritura§ao. Entretanto, embora o artigo 7A mencione que 
devem ser observadas as disposi§oes do capftulo V da lei 6.015, que trata da conservacao, 
ordem e seguranca dos arquivos, nada se menciona sobre como obter esses requisitos a partir 
do uso de discos opticos ou optomagneticos. 

Ha de se ressaltar que os discos optomagneticos sao regravaveis e ha uma grande 
diversidade de tipos de discos opticos, muitos tambem regravaveis e mesmo aqueles do tipo 
WORM, podem ter seus dados alterados dependendo de como forem utilizados (recurso de 
grava§ao em sessoes multiplas). Em rela§ao as disposi§6es do capftulo V da lei 6.015, seria 
oportuno mencionar que a forma de obten§ao dos requisitos de autenticidade, integridade, 
disponibilidade e seguran§a dos arquivos armazenados em meio eletronico digital, e bem 
diversa daquela utilizada para os documentos tradicionais em papel (vide secao 3.5 desse 
trabalho). 

Por fim, o autor do projeto de lei menciona em sua justificativa a utiliza§ao do 
CD-ROM e do disquete, o que realmente comprova o carater de inadequa§ao e obsolescencia 
desse projeto de lei. 
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PROJETO DE LEI DA CAMARA N° 1.483 DE 12 DE AGOSTO DE 1999 



Esse projeto institui a fatura eletronica e a assinatura digital nas transacoes de 
comercio eletronico. Constitui-se de apenas dois artigos e em relacao a assinatura digital, tern 
por objetivo a sua validacao para utilizacao no comercio eletronico. Propoe que o 
reconhecimento da assinatura seja feito por orgao publico, porem nao especifica qual orgao, 
nem o procedimento a ser adotado. Segundo o paragrafo unico, garante-se ainda o direito de 
fiscalizacao dos registros disponfveis, o que no mmimo pode ser considerado um ponto de 
conflito ou de dupla interpretacao, na medida em que poderia dar margem que orgaos federais 
tivessem acesso a dados sigilosos relacionados a tecnica de assinatura digital utilizada, ou ate 
mesmo alguma forma de controle dos documentos submetidos a certificacao. 

Apesar de ser muito sucinto, o PL 1 .483 tern o merito de ter iniciado um processo 
de discus sao no ambito do Poder Legislativo sobre uma regulamentacao que estabeleca e 
discipline a utilizacao da assinatura digital no Brasil. 

PROJETO DE LEI DA CAMARA N° 1.532 DE 19 DE AGOSTO DE 1999 

O projeto de lei n° 1.532, de 1999, dispoe sobre a validade dos documentos 
publicos e particulares elaborados ou arquivados em meio eletromagnetico que preserve a sua 
integridade. Para tanto, esse projeto ja em seu art. 1° § unico tenta garantir "a seguranga, a 
autenticidade, a nitidez, a indelebilidade (sic) e a confidencialidade dos documentos, 
protegendo-os contra todo acesso, uso, alteragao, reprodugao e destruigdo nao autorizados" 
atraves do meio eletronico utilizado. Ora, ja analisamos que somente atraves do meio 
utilizado nao e possfvel obter tais propriedades para um documento eletronico digital. 

O texto desse projeto e semelhante a lei n° 5.433, de 8 de maio de 1968, que regula 
a microfilmagem de documentos, tecnologia hoje considerada obsoleta, mas que foi 
largamente utilizada no passado para armazenamento de documentos. Se a microfilmagem 
garantia a validade juridica dos documentos submetidos a esse procedimento, atraves da 
regulamenta§ao da lei acima citada, nao se pode dizer o mesmo dos documentos eletronicos 
digitais. Para garantir a validade juridica dos documentos digitais e necessaria a utiliza§ao de 
tecnicas que garantam a sua integridade e autenticidade, hoje possfveis atraves do uso de 
assinatura e certificados digitais, com a chancela de uma autoridade certificadora, como por 
exemplo a ICP-Brasil. Esse projeto ainda esta em tramita§ao e, em princfpio, sera apresentado 
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um substitutive, mais adequado a atual realidade, embora nao tenha sido possfvel obter o 
conteudo do mesmo. 



PROJETO DE LEI DA CAMARA N° 1.589 DE 31 DE AGOSTO DE 1999 

Esse projeto dispoe sobre o comercio eletronico, a validade juridica do documento 
eletronico e a assinatura digital, e foi elaborado a partir de um anteprojeto de lei desenvolvido 
pela comissao especial de informatica da OAB de Sao Paulo e apresentado pelo Dep. Luciano 
Pizzato. Trata do assunto com muito mais profundidade e maior detalhamento tecnico e 
juridico do que as iniciativas anteriores. O projeto tenta disciplinar o comercio eletronico, 
bem como a utilizacao de documentos eletronicos com validade juridica. 

Esse projeto define explicitamente como original de documento eletronico aquele 
assinado por meio de sistema criptografico de chaves-piiblicas (se esta puder ter sua 
autenticidade verificada) e como copia, o impresso a partir do original eletronico. Entretanto, 
em nenhum artigo e dada uma definicao ou conceito do que se considera um documento 
eletronico. Mas isso nao chega a impactar negativamente o projeto, pois o mesmo trata de 
todos os prinefpios da tecnologia relacionados a assinatura digital, inclusive as autoridades 
certificadoras e a autenticidade de chaves feita por tabeliao (podemos aqui considerar a ideia 
do cartorio digital trabalhando com "cybernotdrios"). Estabelece tambem responsabilidades, 
competencias e sancoes penais das entidades envolvidas no processo de certificacao 
eletronica. 

Interessante observar que nos artigos 16 e 17, o projeto faz distincao entre a 
certificacao da chave publica feita por tabeliao e aquela feita por particular e certificada por 
uma autoridade certificadora privada. A distincao baseia-se na presuncao da autenticidade 
perante terceiros garantindo a sua autenticidade na certificacao por tabeliao. Ja na assinatura 
feita por particular, nenhum terceiro fica obrigado a aceitar a autenticidade de um documento 
eletronico, a nao ser que assim deseje. No art. 18 afirma que "a autenticidade da chave 
publica poderd ser provada por todos os meios de direito, vedada a prova exclusivamente 
testemunhar . Esse artigo e interessante pois deixa a cargo do Judiciario definir a eficacia 
probatoria de um documento assinado com determinada chave publica e nao somente se 
respalda na tecnologia empregada, que eventualmente - embora diffcil - possa ser fraudada. 

Ao buscar a garantia da autenticidade perante terceiros junto a um servico notarial, 
o projeto mantem equivalencia com a situa§ao atual dos documentos dotados de "fe publica", 
uma vez que a responsabilidade da autoridade certificadora permanece vinculada ao poder 
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publico e nao sob o dommio de qualquer entidade particular. Isso na teoria e muito 
interessante, entretanto na pratica o projeto nao observa as questoes tecnicas, principalmente 
aquelas relacionadas a real capacidade de um servico notarial para controlar o uso de suas 
proprias chaves na certifica§ao da autenticidade das chaves publicas apresentadas por seus 
clientes. E mais provavel que a atribuicao da garantia de autenticidade dos documentos 
eletronicos caiba as entidades que detem a tecnologia de certifica§ao digital, ou seja, as 
proprias autoridades certificadoras. 

O art. 26 trata das informa§oes mfnimas que um certificado digital deve conter. 
Alem dessas informacoes seria interessante a inclusao do prazo de validade do certificado e 
de seu numero de serie, informacoes essas constantes no padrao X.509 desde a sua primeira 
versao. O projeto estipula que caso nao haja informacao do prazo de validade do certificado, a 
validade e de 2 anos contados a partir de sua cria§ao. A falta dessas informacoes tao 
importantes para um certificado digital (prazo e numero de serie) por si so deveria tornar o 
certificado invalido, pois o mesmo nao segue os requisites mmimos especificados pelo padrao 
X.509. O projeto ao dispor que os signatarios presumem a data do documento como 
verdadeira (art. 19), nao sugere a utiliza§ao de uma autoridade de carimbo de tempo ("Time 
Stamping Authority"), forma mais eficiente e segura de garantir o requisito da tempestividade. 

Outra questao esta na responsabilidade atribufda ao Ministerio da Ciencia e 
Tecnologia para certificar a seguranca e a confiabilidade de programas e sistemas utilizados 
na geracao de chaves criptograficas (art. 30). Seria mais democratico, se essa certifica§ao 
fosse realizada por entidade especializada autorizada "ad hoc" para essa finalidade, a qual 
poderia perfeitamente suprir esse requisito. 

O capftulo VI, segundo o art. 13, dispoe que "aplicam-se ao comercio eletronico 
as normas de defesa e protegao do consumidor" . Assim, o projeto trata de um assunto de 
relevante importancia para o consumidor, pois sabe-se que ate bem pouco tempo atras os 
bancos nao eram obrigados a seguir o codigo de defesa do consumidor, sendo esta uma 
conquista recente da sociedade brasileira. 

Apesar de alguns questionamentos acima descritos, esse projeto trata de questoes 
tecnicas e juridicas importantes relacionadas ao comercio eletronico e a validade de um 
documento eletronico. Esse projeto tern o grande merito de levantar essas questoes e assim 
propor a discussao com os varios setores da sociedade, inclusive o cidadao comum que realiza 
compras na Internet e que pode assim beneficiar-se de forma positiva com a normaliza§ao 
dessa materia. 
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PROJETO DE LEI DA CAMARA N" 2.589 DE 15 DE MARCO DE 2000 



Esse projeto de lei altera o Codigo de Processo Civil de forma a admitir as 
decisoes em mfdia eletronica entre as suscetfveis de prova na divergencia de jurisprudencia no 
ambito do Superior Tribunal de Justica (STJ). Iniciativa plenamente valida, pois as decisoes ja 
foram tomadas e simplesmente encontram-se em formato eletronico (inclusive na Internet). 
Este projeto permite cita-las em caso de divergencia jurisprudencial e foi recentemente 
(19/07/2006) encaminhado a san§ao presidencial e nao ha razoes para ser vetado. 

PROJETO DE LEI DO SENADO N" 4.906 DE 21 DE JUNHO 2001 

Esse projeto dispoe sobre comercio eletronico e ao mesmo foram apensados os 
PL 1483/1999, PL 1589/1999, PL 6965/2002 e PL 7093/2002 por tratarem de assunto 
correlato. Esse projeto toma como base a lei modelo proposta pela UNCITRAL, e assim trata 
do comercio eletronico de forma neutra tecnologicamente sem mencionar caracteristicas 
tecnicas, nem mesmo como seriam obtidas as garantias de integridade e autenticidade das 
mensagens eletronicas. Na verdade, tenta estabelecer regras basicas para o comercio 
eletronico como tern ocorrido de forma emprrica hoje em dia, mesmo sem legislacao 
apropriada. 

Conforme estabelece o art. 2°, inciso I, define-se mensagem eletronica como sendo 
a "informagdo gerada, enviada, recebida, armazenada ou comunicada por meios eletronicos, 
opticos, opto-eletrdnicos ou similares". Essa redacao pode levar ao equivocado entendimento 
de que seria considerado documento eletronico a informa§ao simplesmente transmitida 
eletronicamente. Mas parece senso comum que a definicao de mensagem eletronica contem a 
definicao de documento eletronico. 

Embora seja um projeto interessante, a partir do momento que traz um certo grau 
de normaliza§ao para o comercio eletronico e possibilita inova§5es tecnologicas sem alteracao 
da propria lei, as questoes tecnicas teriam que ser tratadas por regulamentacao complementar. 

O projeto e direcionado para o comercio eletronico e da pouca enfase a questao da 
assinatura digital. Em seu art. 7° § unico, o projeto abre um precedente para que o metodo de 
identifica5ao de uma pessoa seja acordado entre as partes. Nao indicando uma tecnica a ser 
utilizada, deixa sob responsabilidade das partes a obriga§ao de ter conhecimento suficiente 
para estipular a forma como irao autenticar a opera§ao. Se o metodo acordado nao for 
adequado e nao conseguir garantir os requisitos mmimos de integridade e autenticidade de 
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uma transacao, podera ser fraudado por uma das partes, ou ate mesmo por terceiros, o que 
seria prejudicial para ambas as partes. 

Como a este projeto foi apensado o PL 1589/1999, que trata do assunto com mais 
profundidade e detalhamento tecnico, e de se esperar que o mesmo receba emendas ou ate 
mesmo um substitutive em razao de estar sendo discutido no ambito do Comite Executivo de 
Comercio Eletronico reinstaurado em 2004, conforme ja citado no Capftulo 7 deste trabalho. 

MEDIDA PROVISORIA N° 2.200-2, DE 24 DE AGOSTO DE 2001 
DECRETO N° 3.872, DE 18 DE JULHO DE 2001 

A MP 2.200 foi editada inicialmente em 28 de junho de 2001 e instituiu a Infra- 
estrutura de Chaves Piiblicas Brasileira, a ICP-Brasil com objetivo de "garantir a 
autenticidade, a integridade e a validade juridica de documentos em forma eletrdnica, das 
aplicagdes de suporte e das aplicagdes que utilizem certificados digitals!' (art. 1°). 
Estabeleceu como autoridade gestora de polfticas um Comite Gestor, vinculado a Casa Civil 
da Presidencia da Republica, composto por membros da sociedade civil e representantes de 
diversos orgaos publicos indicados por seus titulares (art. 3°). A ICP-Brasil e composta de 
uma unica Autoridade Certificadora raiz, ACs intermediarias e Autoridades de Registro 
(ARs). O art. 7° institui o Institute Nacional de Tecnologia da Informacao (ITI), como a AC 
raiz da ICP-Brasil. 

Em seu art. 4°, estabelece que o Comite Gestor sera assessorado e recebera apoio 
tecnico do CEPESC - Centro de Pesquisa e Desenvolvimento para a Seguranca das 
Comunica§oes. O CEPESC nasceu dos trabalhos de pesquisa na area da criptografia do 
extinto SNI - Servico Nacional de Informa§6es e hoje e parte integrante da estrutura do 
Departamento de Tecnologia da Abin - Agenda Brasileira de Inteligencia. O art. 8°, com 
redacao um pouco confusa determina que as ACs "compete [...] gerenciar os certificados e as 
correspondentes chaves criptogrdficas" . Ora, o usuario que quiser emitir um certificado 
valido para a ICP-Brasil, e obrigado a confiar no ITI e no CEPESC, inclusive em relacao 
gerenciamento de suas chaves ? Inclusive sua chave privada ? Sem contar que o ITI pode na 
forma da lei contratar servicos de terceiros (art. 7°, § unico). Caso haja algum problema, 
segundo o inciso IV do art. 5°, cabe ao proprio Comite Gestor exercer as atividades auditoria 
e fiscaliza§ao da AC raiz e seus prestadores de servi§o. 

Na verdade, a MP 2.200 ignorou os projetos de lei que ha um razoavel tempo 
tramitam no Congresso Nacional sobre a normaliza§ao de documentos eletronicos e 
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assinaturas digitais, e emitiu as pressas uma MP com varios pontos polemicos, deixando os 
usuarios sem opcao de escolha, caso a mesma venha a se consolidar no futuro. 

A resposta veio rapida. A MP foi reeditada em 27 de julho de 2001 (MP 2.200-1) e 
corrigiu algumas discrepancias. O art. 8° tern redacao mais clara e foi incluido um paragrafo 
onde estabelece que o par de chaves criptograficas sera gerado sempre pelo proprio titular, 
sendo a chave privada de seu exclusivo controle, uso e conhecimento. O art. 9°, determina que 
os usuarios devem ser identificados e cadastrados comparecendo a uma AR (identifica§ao 
presencial). Varios artigos foram reescritos a fim de dar maior clareza ao leitor (art. 5°, 6°, 
11). O art. 5°, inciso VII, que trata de polfticas de ICP externas, acrescenta que seja observado 
"o disposto em tratados, acordos ou atos internationals'' '. Ja o art. 13 original foi suprimido, 
uma vez que nao acrescentava nada de relevante ao assunto tratado pela MP. 

Muito importante tambem foi a inclusao de paragrafos no art. 12 que estabelecem 
que os documentos certificados pela ICP-Brasil ^presumem-se" verdadeiros (§ 1°), nao 
obstando qualquer outro meio de comprova§ao de autoria e integridade de documentos 
eletronicos, inclusive aqueles certificados fora da ICP-Brasil desde que admitido como valido 
pelas partes (§ 2). Assim, tentou-se aproximar a MP do tratamento de autoria e eventual litfgio 
presente no Codigo Civil e no Codigo de Processo Civil. Por fim o art. 14, alem da 
contrata§ao de terceiros, permite a requisicao de servidores, civis ou militares, e empregados 
da Administra§ao Publica Federal direta ou indireta. 

Novamente, em 24 de agosto de 2001, o governo reeditou a Medida Provisoria 
(MP 2.200-2). Percebe-se logo que o ITI foi transformado em autarquia vinculada ao 
Ministerio da Ciencia e Tecnologia (MCT). O art. 4° que tratava do assessoramento do 
CEPESC foi suprimido. Entretanto, o Decreto 3.872 de 18 de julho de 2001 continua vigente 
e estabelece em seu art. 5° que "o Comite Gestor da ICP-Brasil estabelecerd a forma pela 
qual Ihe sera prestada assessorla pelo Centro de Pesquisa e Desenvolvimento para a 
Seguranga das Comunicagoes - CEPESC. Outros acrescimos sao o art. 14 que afirma que o 
ITI pode aplicar sancoes e penalidades na forma da lei e o art. 15 que dispoe de uma estrutura 
basica para o ITI (Uma Presidencia, uma Diretoria de TI, uma Diretoria de Infra-Estrutura de 
Chaves Publicas e uma Procuradoria Geral, que enquanto nao for implantada, tera como 
representante a AGU - Advocacia Geral da Uniao, segundo o art. 18). A transforma§ao do ITI 
em autarquia, permitiu ao Poder Executivo transferir para o mesmo, o acervo tecnico e 
patrimonial e as dota§6es or§amentarias consignadas ao MCT. Isso permitiu que o ITI 
recebesse recursos do Tesouro Nacional (vide Mensagem 268/06, Anexo I). 
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Embora a MP 2.200 e suas reedicoes tenham trazido importantes fundamentos e 
amparo legal a utiliza§ao da assinatura digital, esse assunto deve ser mais amplamente 
debatido para que algumas questoes controversas sejam resolvidas de forma a atender e 
beneficiar a todos os usuarios dessa tecnologia. Entre essas questoes cabe mencionar: 

• A falta de uma Autoridade de Datacao ou carimbo de tempo (Time 
Stamping Authority), fundamental para se garantir o requisito de 
tempestividade para um documento assinado digitalmente; 

• O mesmo tratamento dado aos documentos publicos ou particulares - 
"para todos osfins legais" - conforme dispoe a MP em seu art. 10. 

• O certificado emitido pela ICP-BR e de uso geral e irrestrito, sendo que o 
uso inadequado ou o comprometimento da chave privada pode levar ao 
titular do certificado conseqiiencias de proporcoes drasticas. 

• O gerenciamento da lista de certificados revogados (LCR) e a propria 
revogacao de certificados, sao outras duas questoes de grande relevancia. 
Nem sempre sao de facil solucao e merecem mais atencao por parte da 
legislacao. 

• A identifica§ao do titular de um certificado digital, caso nao seja amparado 
por um procedimento eficaz por parte das ARs, pode se tornar o "calcanhar 
de Aquiles" de qualquer infra-estrutura, inclusive da ICP-Brasil. 

PROJETO DE LEI DA CAMARA N" 7.316 DE 7 DE NOVEMBRO DE 2002 E SUBSTITUTIVO 

Esse projeto de lei tern como objetivo substituir a MP 2.200-2 no que diz respeito 
ao uso de assinaturas eletronicas e a prestacao de servicos de certifica§ao digital. Percebe-se 
que e um projeto mais evolufdo e de redacao mais clara, inclusive apresentando definicoes 
para esclarecer os diversos termos utilizados no decorrer do texto. Em seu art. 2° estabelece 
uma importante diferencia§ao entre assinatura eletronica (como por exemplo a utiliza§ao de 
uma senha) e a assinatura eletronica avan§ada baseada na utiliza§ao de um certificado digital. 
Em ultima analise, o "certificado qualificado" seria aquele emitido por prestador de servicos 
de certifica§ao credenciado a ICP-Brasil (art. 2° § VII e IX) e a denomina§ao de "certificado" 
nao exigiria tal credenciamento. Ainda no art. 2°, § VII almea "e" , trata inclusive de 
restri§oes ao ambito de utiliza§ao do certificado, importante para evitar que o certificado se 
torne um instrumento de uso geral e irrestrito. 



95 



O art. 3°, dispoe que a prestacao de servicos de certificacao nao se sujeita a previa 
autorizacao pelo Poder Publico, importante para democratizar a prestacao desse tipo de 
servico. Entretanto, cabe ressaltar que o art. 4° afirma "que somente as assinaturas eletronicas 
avangadas tern o mesmo valor juridico e probante da assinatura manuscrita" . Dado que a 
assinatura eletronica avancada tern como pre-requisito (art 2 § II, almea c) estar "baseada em 
certificado qualificado vdlido a epoca de sua aposigao" conclunnos que o valor juridico e 
probante somente e garantido ao certificado digital emitido por prestador de servicos de 
certificacao credenciado a ICP-Brasil nos termos do art 5, que impoe o cumprimento de 
diversos requisitos. Todavia, nao serao negados os efeitos juridicos, nem sera exclufda como 
meio de prova, uma assinatura eletronica que nao estiver baseada em certificado qualificado, 
desde que admitida por ambas as partes como valida (art. 4° § 3). O art. 6° trata das condicoes 
de credenciamento de provedores de servico de certificacao de data e hora, bem como de 
outros servicos e aplicacoes de suporte, embora nao relacione diretamente a certificacao a 
exigencia de um servico de "carimbo de tempo", como seria importante para se garantir o 
requisito de tempestividade. 

O projeto trata tambem das responsabilidades dos prestadores de servico de 
certificacao (art. 10), infracoes, multas e aplicacao do Codigo de Defesa do Consumidor (art 
15), incluindo a necessidade do prestador informar as medidas de seguran§a que devem ser 
adotadas pelos usuarios para com os seus certificados e chaves, em especial a sua chave 
privada (art. 8°). No art. 14, assegura que o certificado emitido no exterior seja considerado 
um "certificado", podendo ser considerado um "certificado qualificado" desde que sejam 
realizados acordos, tratados ou atos internacionais, observando-se o princfpio de 
reciprocidade. Esse projeto de lei em seu art. 18, nao dispensa a manuten§ao em papel ou 
microfilme dos livros de registros publicos na forma da legisla§ao vigente (Lei 6.065/1973) e 
mantem as competencias do Comite Gestor da ICP-Brasil na forma da MP 2.200-2, salvo 
disposi§ao contraria. Muito importante e a exigencia de contrata§ao de seguro pelos 
prestadores de servi§o para cobertura da responsabilidade civil relativa a atividade de 
certifica§ao (art. 25). Esse dispositivo assegura aos usuarios maiores garantias de 
ressarcimento em um eventual dano financeiro causado pela entidade certificadora. 

Ressalta-se que o objetivo inicial do projeto de lei do Executivo era consolidar as 
disposi§6es aplicaveis a certifica§ao e assinatura digital, bem como dar um tratamento 
legislativo adequado a algumas questoes nao tratadas pela MP 2.200-2. Inicialmente, o PL 
7.316 oriundo do Poder Executivo, continha 20 artigos e nas comissoes recebeu substitutive 
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da CCTCI (Comissao de Ciencia e Tecnologia, Comunicacao e Informatica), alem de 
inumeras emendas tanto da CCTCI como da CCJC (Comissao de Constituicao, Justica e 
Cidadania). Com o substitutivo, que realizou diversas alteracoes e inclusoes, o PL passou a 
dispor de 49 artigos. A partir do substitutivo, novamente foram apresentadas emendas, 
inclusive do relator. Apos a consolidacao das emendas aprovadas, atualmente o PL trata do 
assunto em 52 artigos, com um nfvel de detalhamento e esclarecimento bem mais 
significativo que o PL original do Executivo. 

No PL consolidado, dentre as alteracoes efetuadas, podemos citar as novas 
definicoes de assinatura eletronica, certificado qualificado e documento eletronico (art 2), que 
colocam o projeto de lei em sintonia com a legislacao internacional, em especial com a 
Diretriz da Comunidade Europeia. O substitutivo elucida ainda a relacao inequfvoca entre a 
assinatura eletronica e seu titular e explicita a data de infcio e fim da validade do 
correspondente certificado como informacao obrigatoria no "certificado qualificado" (art. 2° e 
3°). Ainda no art. 2°, e inclufdo um paragrafo unico, que equipara a pessoa juridica, para os 
fins do inciso IX, aqueles que exercem servicos notariais, nos termos do art. 236 da CF. Em 
seu art. 5° dispoe que as assinaturas eletronicas tern o mesmo valor juridico e probante das 
assinaturas manuscritas, de acordo com o art. 219 do novo Codigo Civil de 2002. Ha um novo 
capftulo (Tftulo I, Capftulo III) que trata dos certificados digitais, atribuindo a posse da chave 
criptografica ao seu possuidor, que sera responsavel por sua geracao e guarda, respondendo 
pelo uso exclusivo da chave de criacao de assinatura. O §4 do art. 8° explicita que os dados do 
certificado sao publicos e disponfveis a qualquer interessado, o que nao era exatamente o que 
dizia a redacao anterior, que afirmava que "os certificados podiam ser conferidos pelo publico 
apenas quando consentido pelo seu titular". O Substitutivo trata ainda da ICP-Brasil e de seu 
Comite Gestor, definindo sua composi§ao e suas competencias (Tftulo II, Cap I e II), bem 
como seu relacionamento com o Instituto Nacional de Tecnologia da Informa§ao - ITI, cujo 
papel de gerente tecnico do sistema e detalhado e refor§ado (Tftulo II, Cap III). 

O Substitutivo reconhece, no ambito do sistema nacional de certifica§ao digital, o 
papel de destaque do Observatorio Nacional - orgao do Ministerio da Ciencia e Tecnologia 
que mantem a hora legal brasileira - e sua importancia na confiabilidade do sistema de 
certifica§ao digital. Para tanto, o art. 22 estabelece que os prestadores de servi§o de carimbo 
de tempo devem utilizar a hora oficial fornecida pelo Observatorio Nacional, incluindo seus 
sinais primarios de sincroniza§ao de freqiiencia e tempo. 
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No Capftulo III do Tftulo III - Dos Deveres das Prestadoras de Servicos de 
Certifica§ao - a versao consolidada obriga as autoridades de registro a prestarem informacoes 
ao usuario do sistema sobre os efeitos da certifica§ao, sobre a forma de geracao e uso das 
chaves criptograficas, bem como sobre os cuidados a serem tornados em sua guarda e 
manipula§ao (art. 32). E aplicavel a legislacao de defesa do consumidor e as normas 
processuais sobre a validade e prova documental a prestacao de servicos de certifica£ao e 
data§ao (art. 45). 

O Capftulo VI introduz ainda, uma grada§ao de penas aplicaveis aos prestadores 
de servicos, criando diversas categorias de infra§ao e penalidades no ambito do sistema ICP- 
Brasil. 

Interessante observar que as Autoridades Certificadoras (ACs), passam a ser 
conhecidas como prestadores de servicos de certifica§ao (exceto no caso da AC raiz da ICP- 
Brasil) e as antigas Autoridades de Registro (ARs) passam a ser referenciadas como orgaos de 
registro (art. 48), embora essa alteracao seja somente na nomenclatura utilizada. Ja o art. 49, 
dispSe que a constitui§ao de direitos e obriga§oes instrumentada em documento eletronico 
que importem em transferencia de domfnio imobiliario ou envolvam interesse de incapazes, 
para ter validade perante terceiros, deve sujeitar-se as prescri§oes da legislacao civil, 
processual e dos registros publicos em vigor. Por fim, revoga a MP 2.200-2 e convalida os 
atos praticados em sua vigencia. 

De uma maneira geral, o PL 7.316 consolidado traz inumeras melhorias em 
relacao a MP 2.200-2, muitas das quais ja discutidas anteriormente. O PL trata em detalhes a 
presta§ao de servi§os de certifica§ao digital, incluindo o servi§o de carimbo de tempo, seus 
requisites e responsabilidades. Estabelece ainda normas sobre o uso de assinaturas eletronicas 
e certificados digitals, versando sobre o papel exercido pela ICP-Brasil, pelo ITI e pelos 
prestadores de servi§o de certifica§ao e data§ao. Em varios aspectos tenta compatibilizar a 
utiliza§ao de assinaturas eletronicas com a legisla§ao existente, na medida em que nao coloca 
nenhum obice aos meios de prova e contesta§ao hoje existentes. Alem disso, estabelece regras 
para os componentes de aplica§ao e componentes tecnicos (programas e dispositivos) e dispoe 
ainda sobre a manuten§ao/encerramento das atividades de certifica§ao, estabelecendo tambem 
penalidades as eventuais infra§oes cometidas pelas entidades credenciadas. 

Entretanto, a infra-estrutura proposta continua sendo de raiz unica e com o 
objetivo de se obter um certificado qualificado e assim possuir uma assinatura eletronica 
avan§ada, o usuario e "sugestionado" a requisita-la perante um prestador de servi§o 
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credenciado, ou seja, participante do sistema de certificacao no ambito da ICP-Brasil. Ao 
obter um certificado digital de outra entidade nao participante da ICP-Brasil, obtera a 
possibilidade de assinar digitalmente um documento, que nao necessariamente tera o mesmo 
valor juridico e probante das assinaturas manuscritas (art. 5°), embora nao sejam negados os 
seus efeitos juridicos, desde que o certificado digital seja admitido como valido pelas partes 
ou aceito pela pessoa a quern seja oposto (art. 6°). 

PROJETO DE LEI N" 229 DE 22 DE JUNHO DE 2005 

Esse projeto dispSe sobre a autenticidade e o valor juridico e probatorio de 
documentos produzidos, emitidos ou recebidos por orgaos publicos federais, estaduais e 
municipais, por meio eletronico. A ideia de sua proposicao e semelhante aos projetos 1.532 de 
19 de agosto de 1999 e 3.173 de 26 de maio de 1997, entretanto encontra respaldo na MP 
2.200-2 a fim de garantir a autenticidade e integridade dos documentos em questao. Ainda 
esta em fase inicial de tramitacao, sem relator designado. Entretanto, tern uma aceitacao 
maior, e mais condizente com a atual realidade da certificacao digital no Brasil e por isso tern 
mais chances de ser aprovado, apos discussao nas duas Casas do Congresso Nacional. Como 
menciona uma MP, que hoje tern forca de lei, em algum momento futuro deve sofrer emenda 
para se adequar a uma possfvel mudanca na situacao da normalizacao da certificacao digital 
no Brasil. 

PROJETO DE LEI N" 6.693 DE 07 DE MARCO DE 2006 

Esta lei altera a redacao do art. 375 da lei no 5.869, de 11 de janeiro de 1973 - 
Codigo de Processo Civil. Dispoe que conforme o telegrama e o radiograma, o e-mail seja 
presumido conforme o original, provando a data de sua expedicao e do recebimento pelo 
destinatario. Essa proposicao ainda devera receber parecer conclusivo pela CCJC, onde 
encontra-se atualmente. Mas deve ficar claro que o e-mail e considerado um documento 
eletronico digital e por isso deve ser tratado como tal. Caso o e-mail possua uma assinatura 
digital valida fica mais facil e isenta a comprovacao de sua autenticidade e integridade; caso 
contrario, somente uma pericia pode atestar o seu grau de legitimidade, cabendo a justica 
deliberar sobre a sua originalidade e integridade. 

Nesse sentido, a exemplo de jurisprudencia, o Tribunal Superior do Trabalho, em 
27 de maio de 2003, rejeitou o envio de peticao recursal por meio de correio eletronico, pois o 
considerou um mecanismo dfspar em rela§ao ao fac-smiile, embasado na MP 2.200-2. "O 

99 



envio de recurso por correio eletrdnico e juridicamente aceitdvel apenas se houver 
certificagdo digital reconhecida pela ICP-Brasil, nos termos da MP 2.200-2 de 2001"[94]. 

8.2.3. Outras questoes relevantes 

Apos a analise mais detalhada da legislacao apresentada, vimos que o Brasil ainda 
nao possui um detalhamento juridico vigente, e por vezes especffico, de como deve ser tratada 
a questao dos documentos eletronicos digitais. A MP 2.200-2, atualmente com forca de lei, 
tenta normatizar o aspecto relacionado a validade juridica dos documentos eletronicos atraves 
da criacao da ICP-Brasil, que de acordo com o seu art. 1° foi institufda com o objetivo de 
"garantir a autenticidade, a integridade e a validade juridica de documentos em forma 
eletronica [...]". O PL 7.316, na forma de substitutivo apresentado pelo relator, se for 
sancionado, ficara no lugar da MP 2.200-2 e ira convalidar os atos praticados na vigencia da 
MP. E muito mais abrangente, traz melhorias evidentes e com certeza foi muito mais debatido 
e modificado atraves das comissoes. Assim, embora tenha um carater mais democratico que 
uma Medida Provisoria, atualmente com forca de lei pelas circunstancias da EC 32 de 2001, a 
essencia e a mesma da MP 2.200-2. A seguir serao comentadas algumas questoes relevantes 
relacionadas a esses dois instrumentos normativos e ao processo de aceitacao das assinaturas 
digitais pela sociedade de uma forma geral. 

A ICP Raiz unica e o CEPESC na MP 2.200-2 e no PL 7.316 

A ICP-Brasil ocupa lugar de destaque nas duas normas acima citadas. Ora, e 
atraves dessa infra-estrutura que se pretende dar validade juridica aos documentos eletronicos 
e disciplinar o uso de assinaturas eletronicas e a prestacao de servi§os de certifica§ao. A infra- 
estrutura de certifica§ao e onerosa, sendo natural que a atividade de certifica§ao seja 
considerada uma atividade comercial, com um vinculo estabelecido entre quern fornece e 
quern adquire um certificado. 

Pelas normas citadas, todos os prestadores do servi§o de certifica§ao que quiserem 
ter a possibilidade de emitir um "certificado qualificado" e assim poderem fornecer aos seus 
usuarios uma "assinatura avan§ada", terao que seguir as normas estabelecidas pelo Comite 
Gestor da ICP-Brasil, que continua sendo assessorado tecnicamente pelo CEPESC, orgao da 
ABIN (antigo SNI), a menos que o Decreto 3.872 seja revogado pelo Poder Executivo. 
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Como ja foi comentado, o Brasil adotou um modelo centralista e hierarquico de 
ICP raiz unica, que tern fortes influencias do modelo adotado pela Alemanha. No infcio dos 
anos 90, uma iniciativa de se implementar um modelo centralista deu-se no ambito do esforco 
de universalizacao do padrao PEM (Privacy Enhanced Mail Standard). O padrao PEM, 
inclufa cifragem, autenticacao e o uso de um sistema de chave publica e privada para garantir 
a privacidade e integridade na troca de mensagens eletronicas de forma segura. Proposto pela 
IETF (Internet Engineering Task Force), o padrao fracassou devido a diversas dificuldades, a 
maioria delas decorrentes de obstaculos para se adequar sua esfera tecnica a esfera juridica 
[95]. 

A falta de "concorrencia", pode comprometer a qualidade de um servico fornecido 
pelo Estado, ja que cabe ao proprio Comite Gestor coordenado pelo Poder Executivo (MP art. 
4° Inc. IV e art. 15, Inc. IV do PL 7.316 consolidado) auditar, homologar e fiscalizar a ICP- 
Brasil e seus prestadores de servico. 

Aos poucos alguns servicos publicos comecam a ser oferecidos ao cidadao atraves 
da utilizacao de "certificados qualificados" emitidos pela ICP-Brasil, como por exemplo, 
alguns servicos ao contribuinte fornecidos pela Secretaria da Receita Federal. No futuro, 
quando a certificacao digital for popular, caso o usuario adquira um certificado digital de uma 
empresa comercial e esta nao esteja sob os auspfcios da ICP-Brasil, os orgaos publicos terao 
possibilidade de aceita-los ? Nesse caso, tera o usuario de um servico publico alguma outra 
opcao de certificado, alem daqueles emitidos pelos prestadores de servico vinculados a ICP- 
Brasil ? So o tempo dira, pois a legisla5ao vigente e a atual proposta futura (PL 7.316) nao 
tocam diretamente no assunto. 

Pode ser que esses obstaculos sejam superados na medida em que haja maior 
adesao da popula§ao a utiliza§ao da certifica§ao digital. E possfvel que com o 
amadurecimento da tecnologia e a evolu§ao das normas juridicas, surjam acordos bilaterais 
que viabilizem a utiliza§ao da certifica§ao cruzada. A certifica5ao cruzada e aquela utilizada 
na identifica5ao de chaves publicas entre duas autoridades certificadoras distintas, nao 
pertencentes a mesma arvore de certifica5ao. A partir de entao, cada qual passa a ter o mesmo 
grau de confian§a, e o usuario podera solicitar um certificado da hierarquia de certifica5ao de 
sua prefercncia, deixando de ser a certifica§ao um servi50 exclusivamente Estatal e 
monopolista. 
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A questao da Privacidade 



Em um mundo globalizado e com varios tipos de relacoes sendo realizadas em 
ambientes "virtuais" como a Internet, a privacidade do usuario e muito importante. Quern 
gostaria de ter os seus dados pessoais divulgados pela internet, ou vendidos por quantias 
irrisorias em um DVD pirata ? 

Pois bem, as resolucoes do ITI de numeros 7, 11, 13, 28, 31, 35 e 41 - todas 
versando sobre os requisitos rnfnimos sobre as polfticas de certificado na ICP-Brasil - 
determinam que inumeras informacoes pessoais fossem obrigatoriamente informadas em 
campos denominados "OtherName". Em particular, a resolucao 41, obriga a existencia de 3 
campos "OtherName", contendo o primeiro a data de nascimento do titular, o Cadastro de 
Pessoa Ffsica (CPF) do titular, o numero de Identificacao Social NIS (PIS, PASEP ou CI), o 
numero do Registro Geral RG do titular, as siglas do orgao expedidor do RG e respectiva UF; 
o segundo contendo o numero do Cadastro Especifico do INSS (CEI) da pessoa ffsica titular; 
o terceiro contendo o numero de inscricao do Tftulo de Eleitor, a Zona Eleitoral, a Secao e por 
fim, o municfpio e a UF do Tftulo de Eleitor. 

Sabendo dessas questoes, um usuario emitiria um "certificado qualificado" pela 
ICP-Brasil, contendo todas essas informacoes ? Seria realmente seguro ? 

Como esses dados fazem parte do certificado digital do usuario e o seu conteudo e 
publico e passfvel de verificacao por uma Autoridade Certificadora (AC), seria possfvel obte- 
los atraves de um programa ou rotina especialmente projetado para esse fim ? A resposta e 
sim. Segundo CARNUT [96], nao so e possfvel como ele nos mostra em seu artigo 
"Certificados Digitais Pseudonimos: Identificacao Segura e Privacidade sao Compatfveis" 
uma rotina escrita na linguagem "Perl" que extrai varios dados pessoais de uma AC real, 
mostrando-os na tela de forma descritiva e em formato facil para importacao em bancos de 
dados. Ressalta o autor que a rotina nao e ilfcita, pois "nao explora nenhuma vulnerabilidade 
obscura no servidor web ou na aplicagdo da AC, nem realiza nenhum tipo de acesso ilegal; 
simple smente acessa a pdgina tal como o navegador ofaz, nao disparando nenhum alarme de 
ataque naAC" [96]. 

Prato cheio para falsarios e estelionatarios. Cabe ressaltar que a resolu§ao 41 
continha os requisitos mfnimos sobre as polfticas de certificado na ICP-Brasil (versao DOC- 
ICP-04), estava vigente ate ha pouco tempo, quando a resolu§ao 42 em 18 de abril de 2006 
aprovou a versao DOC-ICP-05. Esta ultima dispoe que os dados obrigatorios do campo 
"OtherName" sao o nome completo do titular e a data de nascimento. Os demais campos sao 
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opcionais a criterio do usuario ou podem ser inclufdos de acordo com a polftica especifica de 
utilizacao do certificado. 

E importante mencionar que a nao-inclusao desses dados nao prejudica em 
absoluto a utilizacao dos certificados digitais nem por parte dos usuarios, nem das aplicacoes 
e servicos deles dependentes. Simplesmente preservam o sigilo de dados pessoais do titular, 
garantindo assim a sua privacidade. 

A questao do nao repudio 

A jurisprudencia no Brasil tern atuado no sentido de considerar a seguranca no 
meio eletronico colocado a disposicao dos usuarios de "home-banking" , comercio eletronico, 
dentre outras modalidades de contratacao virtual, como risco profissional do fornecedor desse 
tipo de servico. Assim, aquele que se organiza para negociar por meio eletronico 
profissionalmente, deve suportar o risco de identificacao e imputacao erronea de uma vontade 
negocial. Um "terceiro" pode ter descoberto a senha, atraves de mecanismos ilfcitos, e assim 
cabe ao fornecedor o risco e a prova da contratacao e da vontade de pagamento, uma vez que 
o mesmo e quern conhece a seguranca de seus sistemas e programas de computador [97]. 

Com a utilizacao da certificacao digital, a MP 2.200-2 em seu art. 6°, paragrafo 
unico, afirma que "o par de chaves criptogrdficas sera gerado sempre pelo proprio titular e 
sua chave privada de assinatura sera de seu exclusivo controle, uso e conhecimento" . Esse 
paragrafo, em conjunto com o art. 10 da citada MP, pode dar a interpretacao de que o usuario 
nao poderia repudiar o uso de sua chave privada na assinatura de um documento. Esse 
conceito e conhecido como nao repudio. Ha de se lembrar de que nenhum sistema e 
totalmente imune as falhas, erros ou ate mesmo fraudes. E o que dizer entao da coacao ? 
Como nao seria repudiavel uma situa§ao de que o usuario utilizou sua chave privada para 
assinar um documento eletronico sob a coa§ao de uma arma ? Nessas situa§oes, cabe ao 
usuario provar que nao foi ele quern utilizou a sua chave privada para "assinar" um 
documento, ocorrendo uma inversao do onus da prova. Observe que essa posi§ao ja e 
contraria a jurisprudencia mencionada no infcio dessa secao. 

Ate mesmo no meio tecnico especializado, ha autores revendo sua posi§ao em 
rela§ao ao nao repudio. SCHNEIER [98], em seu livro "Seguranga.com - Segredos e 
mentiras sobre a protegao na vida digital", refuta exatamente o conceito de nao repudio, 
exposto e defendido por ele em obra anterior. A questao do nao repudio e bastante 
controversa, tanto que o PL 7.316 consolidado, art. 8° § 2°, tern reda§ao diferente da MP 
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2.200-2 ao tratar do par de chaves criptograficas, nao delegando mais o controle das mesmas 
exclusivamente ao titular: "O titular ou o responsdvel pelo uso do certificado gerard o par de 
chaves criptograficas e responderd pela guarda e pelo uso exclusivo da chave de criagao de 
assinaturd\ 

Por fim, nao se pode esquecer de que nem todos os usuarios, ao usarem os seus 
certificados digitais, estarao conscientes de todos os aspectos (tecnicos e legais) que envolvem 
o processo de certificacao digital. Dai a importancia da necessidade do prestador de servicos 
de certificacao, informar as medidas de seguranca que devem ser adotadas pelos usuarios para 
com os seus certificados e chaves, em especial a guarda de chave privada (conforme ja dispoe 
o art. 8° do PL 7.316 consolidado). 

8.3. CONSIDERAQOES FINAIS 

Esse capitulo deixa claro que os problemas tecnicos relacionados aos requisitos 
para obtencao da validade juridica dos documentos eletronicos, podem ser superados com a 
adocao da criptografia assimetrica, de uma infra-estrutura de chaves publicas para emissao e 
validacao de certificados digitais, alem da aprovacao de uma legislacao coerente e pertinente 
com a realidade brasileira. 

Infelizmente, grande parte dos projetos de lei analisados que tratam de normatizar 
o uso de documentos eletronicos e assinaturas digitais, o fazem de maneira equivocada. Em 
conjunto com um Processo Legislativo moroso, com a pauta de votacoes invariavelmente 
trancada por Medidas Provisorias, essas iniciativas acabam esquecidas e se tornam obsoletas. 
Espera-se que o mesmo nao aconteca aos importantes projetos de lei 4.906-A de 2001 e 7.316 
de 2002, este ultimo com o objetivo de substituir a MP 2.200-2 que entre outras providencias, 
instituiu a ICP-Brasil. Uma forma de acelerar o processo legislativo, seria a aprovacao da 
Proposta de Emenda a Constituicao (PEC) n° 72 de 2005, que modifica o tramite das medidas 
provisorias no Congresso Nacional [99]. A principal alteracao da proposta e o dispositivo que 
preve que uma medida provisoria apenas ganhara for§a de lei, depois que seus requisitos 
constitucionais de urgencia e relevancia forem reconhecidos pelo Congresso. Pela regra atual, 
uma MP tern eficacia tao logo e assinada pelo presidente da Republica. 

Apesar das questoes tecnicas discutidas anteriormente, o potencial usuario dos 
servi§os de certifica§ao digital da ICP-Brasil, nao tern controle sobre as caracteristicas e 
procedimentos tecnicos que envolvem uma infra-estrutura de certifica§ao digital. Entretanto, 
pode encontrar respaldo nas resolu§oes emitidas pelo Comite Gestor da ICP-Brasil, em 
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especial as resolucoes que tratam da Declaracao de Praticas de Certificacao da AC Raiz, da 
Polftica de Seguranca da ICP-Brasil, dos Requisites minimos para as Polfticas de Certificados 
e dos Requisites minimos para as Declaracoes de Praticas de Certificacao. Alem disso, 
diversas acoes dirigidas pelo ITI, como a disponibilizacao do codigo fonte de aplicacoes para 
o usuario, a nacionalizacao da plataforma de certificacao e a criacao de um laboraterio de 
ensaios e auditoria (LEA), tern por objetivo aumentar a transparencia e confianca do usuario 
na infra-estrutura de certificacao fornecida pela ICP-Brasil. 

A popularizacao da certificacao digital, tambem depende do custo dos dispositivos 
de armazenamento seguro de chaves e certificados, como os "smart cards" e "tokens". Os 
mesmos so serao mais acessfveis a populacao, se houver um esforco na sua padronizacao. 

Por fim, cabe citar alguns servicos que se utilizam de certificados digitals que 
estao sendo disponibilizados para o cidadao ou para uma comunidade de usuarios. Um dos 
pioneiros foi o servico de atendimento virtual da Receita Federal, mais conhecido como 
"Receita 222", e hoje ampliado para o Centro Virtual de Atendimento ao Contribuinte da 
Secretaria da Receita Federal ou e-CAC. O acesso ao e-CAC e efetivado mediante a utilizacao 
de certificados digitais possibilitando, dentre outros procedimentos, a consulta e regularizacao 
das situacoes cadastral e fiscal dos contribuintes, a emissao de certidSes e o acompanhamento 
da tramitacao de processos fiscais [100]. 

Outro servico importante e o SPB (Sistema de Pagamentos Brasileiro), que tern 
como funcao primordial a transferencia de recursos entre pessoas, empresas e institui§oes 
financeiras [101]. Todas as opera§oes do SPB sao certificadas digitalmente e com isso, e 
possfvel que uma transferencia de valor maior ou igual a 5 mil reais, seja processada quase 
que instantaneamente, por meio de uma TED (Transferencia Eletronica Disponfvel). 

Pode-se citar tambem o SISPROUNI, sistema do ProUni (Programa Universidade 
para Todos). O ProUni tern como finalidade a concessao de bolsas de estudos integrals e 
parciais a estudantes de baixa renda, em cursos de gradua§ao em institui§oes privadas [102]. 
O acesso dos mantenedores e coordenadores ao SISPROUNI, e feito exclusivamente por meio 
de certificados digitais. Outros sistemas que utilizam os certificados digitais sao o 
DETRANNET (modulo para uso de Despachantes, Clmicas Medicas e Centros de Forma§ao 
de Condutores) e o Programa Juro Zero de financiamento da micro e pequena empresa da 
FINEP [103], dentre outros. 

Segundo o ITI, a titulo de exemplo, a Autoridade Certificadora da Caixa 
Economica Federal, ja emitiu mais de 15 mil certificados e estabeleceu convenios com 
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diversos tribunals incluindo o STF, STJ, TRT, TST e o TJDFT, com expectativa de superar a 
marca de 90 mil certificacoes ate 2007, somente no ambito do poder judiciario [104]. 

Recentemente, a Camara dos Deputados afirmou que a partir da proxima 
legislatura, que se inicia em 15 de fevereiro de 2007, sera adotado o sistema de assinatura 
digital. Atualmente, a Camara ja utiliza mensagens de correio eletronico assinadas 
digitalmente, e com a definicao iminente do formato de documentos digitais textuais, os 
parlamentares, a Mesa Diretora e os demais diretores de orgaos da casa deixarao de assinar 
documentos em papel, passando a autentica-los eletronicamente. 

Apesar desses esforcos, conflitos comecam a surgir em relacao a "obrigatoriedade" 
de uso de certificados emitidos pela ICP-Brasil para acesso de determinados servicos, como o 
Sistema Integrado de Protocolizacao e Fluxo de Documentos Eletronicos da Justica do 
Trabalho (e-DOC), de acordo com a Instrucao Normativa n° 28 de 2005 emitida pelo Tribunal 
Superior do Trabalho. A OAB, apresenta "pedido de providencias" [105] ao Conselho 
Nacional de Justica em razao da existencia de certificados emitidos pela ICP propria da OAB 
(ICP-OAB), atraves do Provimento n° 97/2002, emitido pelo Conselho Federal e que de 
acordo com a citada Instrucao Normativa, nao poderiam ser utilizados para peticionamento 
eletronico no sistema e-DOC. 



106 



9. CONCLUSAO 

Os documentos eletronicos comecaram a ser utilizados pouco tempo depois do 
surgimento dos primeiros computadores. Entretanto, seu uso so se tornou comum com a 
proliferacao dos microcomputadores, e mais ainda, com o surgimento da internet, quando a 
adocao da tecnologia se viu estimulada, grande parte em razao das novas possibilidades de 
comunicacao e interacao, mas tambem em funcao dos valores economicos e interesses 
comerciais envolvidos. 

O desenvolvimento das tecnicas de criptografia, em especial a criptografia 
assimetrica, permitiu o surgimento da assinatura digital de um documento eletronico. Com 
base na utilizacao de certificados digitais, esse tipo de assinatura permite que se possa obter 
os requisitos de autenticidade e integridade de um documento ou mensagem eletronica. A 
assinatura digital depende da existencia de uma estrutura, denominada de Infra-estrutura de 
Chaves Publicas (ICP), que permite que as chaves publicas dos signatarios possam ser 
verificadas e validadas. 

O estabelecimento e o gerenciamento de uma infra-estrutura de certificacao digital 
envolve tarefas complexas, muito alem das tecnicas de criptografia empregadas. A 
criptografia e apenas parte de um sistema maior onde coexistem pessoas, computadores, redes 
de comunicacao e sistemas de informacao operando sofisticados algoritmos. A aplicacao 
pratica das assinaturas digitais depende, em primeiro lugar, da confianca que os usuarios 
depositam nas Autoridades Certificadoras (ACs) e seus procedimentos de seguranca. As 
atividades tecnicas, como por exemplo, a realizacao de auditoria e fiscalizacao das entidades 
certificadoras, a atualizacao dos programas utilizados com a utilizacao de algoritmos mais 
seguros e o acompanhamento da evolucao tecnologica, devem ser sempre seguidas e 
observadas. Tambem esta muito claro que o uso correto da tecnologia, por parte do usuario, e 
fundamental para que se garanta a seguran§a e a usabilidade de toda estrutura envolvida no 
processo de certifica§ao digital. 

Na questao jurfdica, a legisla§ao atual brasileira ja vem sendo aplicada, atraves de 
adequa§ao e adapta§ao, nas questoes relacionadas aos documentos eletronicos e a assinatura 
eletronica, como por exemplo, em uma contrata§ao eletronica na Internet (comercio 
eletronico). Apesar dessa jurisprudencia, o avan§o da tecnologia e rapido e o Processo 
Legislativo brasileiro nao tern conseguido acompanhar a demanda por normas e instrumentos 
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jurfdicos mais adequados a essa nova realidade. A regulamentacao sobre o comercio 
eletronico e a certificacao digital deve ser semelhante as regras estabelecidas para o comercio 
no mundo real, considerando os aspectos virtuais e especfficos da tecnologia. 

Como foi visto, grande parte das proposicoes em tramitacao no Congresso 
Nacional, trata equivocadamente os documentos eletronicos e a manutencao de sua 
integridade e conseqiiente validade juridica. Aqueles projetos que sao mais adequados, muitas 
vezes foram propostos pelo proprio Poder Executivo, trazem diversos pontos questionaveis e 
ainda sao submetidos a um Processo Legislativo complexo e constantemente paralisado pelo 
excesso de Medidas Provisorias que trancam a pauta de votacoes no Congresso Nacional. Ao 
demorar para serem apreciados e sendo sobrepujados por outros projetos com regime de 
tramitacao de urgencia, acabam por perder o compasso com a tecnologia, tornando-se muitas 
vezes obsoletos e assim inadequados a tecnologia vigente. 

Nesse interim, surge a Medida Provisoria 2.200 e suas duas reedicoes, instituindo 
a infra-estrutura de chaves publicas brasileiras denominada de ICP-Brasil. Essa medida teve 
como objetivo principal, garantir a validade juridica dos documentos eletronicos assinados 
digitalmente, com o uso de certificados emitidos no ambito da ICP-Brasil e ainda esta em 
vigor em razao da EC 32 de 2001. Analisando as disposicoes contidas na MP 2.200-2 e as 
questoes tecnicas relacionadas ao funcionamento de uma ICP, diversas situacoes podem afetar 
o usuario de um certificado digital. Dentre elas, podemos citar: 1) Emissao de um certificado 
a partir de um procedimento inadequado de identificacao do seu titular; 2) Falhas no 
gerenciamento e disponibilizacao das Listas de Certificados Revogados (LCRs); 3) 
Inexistencia de uma Autoridade de Datacao para garantir a tempestividade da assinatura 
digital; 4) Emissao de certificados de uso geral e irrestrito, ja que qualquer erro tecnico ou 
comprometimento da chave privada, pode ter conseqiiencias de proporcoes incalculaveis para 
o seu titular. 

O projeto de lei 7.316 de 7 de novembro de 2002, ja com seu texto consolidado na 
forma de um substitutivo apresentado pela CCTCI e emendado pela CCJC, tenta solucionar 
ou minimizar algumas das situacoes mencionadas anteriormente. Entre seus pontos positivos 
encontram-se: 1) A definicao do Observatorio Nacional como provedor de hora oficial para os 
prestadores de servico de datacao; 2) Definicao clara de requisites e responsabilidades na 
prestacao de servicos de certifica§ao digital; 3) Estabelecimento de penalidades as eventuais 
infra§oes cometidas pelas entidades credenciadas; 4) Men§ao a possibilidade de restringir o 
ambito de utiliza§ao do certificado, evitando assim que o certificado fosse de uso amplo e 
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irrestrito; 5) Manutencao de contrato de seguro para coberta de responsabilidade civil 
relacionada a atividade de certifica§ao. Embora o PL 7.316 tenha trazido inumeras melhorias, 
a infra-estrutura proposta continua sendo de raiz unica e ha um artigo dispondo que "somente 
as assinaturas eletrdnicas avangadas tern o mesmo valor juridico e probante da assinatura 
manuscrita" . As assinaturas avan§adas tern como pre-requisito estarem baseadas em 
"certificados qualificados", que somente sao emitidos por prestadores de servicos 
credenciados a ICP-Brasil. 

Assim, caso o usuario queira que a sua assinatura digital tenha o mesmo valor 
juridico e probante de sua assinatura manuscrita, fica claro que o mesmo nao tern op§ao, a nao 
ser obter um certificado de Autoridade Certificadora credenciada na ICP-Brasil. 

Outro aspecto muito importante, diz respeito a irretratabilidade ou nao repudio em 
relacao a aposi§ao de assinatura digital em uma mensagem ou documento eletronico. Com as 
assinaturas eletronicas, atualmente o onus da prova no caso de fraude ou de erro que provoque 
prejufzos e, por jurisprudencia, do fornecedor do servico. As caracteristicas tecnicas dos 
certificados digitais, em conjunto com as normas legais hoje existentes, podem fazer com que 
haja a inversao do onus da prova. Isso torna o usuario da certifica§ao digital (contratante de 
um servico), unico responsavel pela utilizacao indevida de sua assinatura digital, mesmo que 
tenha ocorrido algum erro, falha tecnica ou ate mesmo fraude, ja que e impossfvel garantir um 
sistema totalmente seguro e perfeito. Isso parece nao estar sendo levado em consideracao, 
principalmente por entidades diretamente interessadas nessa inversao do onus da prova, o que 
e um risco que o usuario pode vir a assumir ao utilizar seu certificado digital. 

Mesmo com todas essas questoes, o uso de assinaturas digitais em conjunto com 
uma infra-estrutura de chaves publicas confiavel, tende a aumentar o nfvel de seguranca em 
rela§ao a autentica§ao e a integridade de um documento ou mensagem eletronica. E com 
certeza, um modelo mais adequado em compara§ao ao uso de usuario e senha, mesmo que o 
titular do certificado tenha que gerenciar alguns "riscos" remanescentes. 

Apesar da longa crise polftica iniciada com a instaura§ao da CPI dos Correios em 
2005, seria muito importante que a tramita§ao do PL 7.316 parado na CCJC desde dezembro 
do ano passado, fosse retomada. Infelizmente, outras CPIs (Mensalao, Bingos, Sanguessugas) 
foram criadas e, ao investigar simultaneamente parlamentares, pohticos, funcionarios 
publicos, drenam grande parte da for§a produtiva tanto da Camara quanto do Senado. 

Aliando esses fatores a um ano eleitoral, com interesses muitas vezes voltados 
exclusivamente a reelei§ao, temos como conseqiiencia uma produtividade extremamente 
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baixa e um verdadeiro clima de "paralisia". Acontece que o mundo nao esta parado e muitos 
pafses ja consolidaram as suas normas juridicas para atender as necessidades da Sociedade da 
Informacao que estamos vivenciando hoje. 

No Brasil, ha a necessidade de reformulacao do Processo Legislativo e atualizacao 
de muitas de nossas leis. Questoes de grande impacto na sociedade e controversas, como os 
diversos aspectos do comercio eletronico e a validade juridica das assinaturas digitais, devem 
ser discutidas com mais agilidade e efetivamente regulamentadas. Caso isso nao ocorra, 
corremos o risco de ficar a margem de um mercado globalizado, que movimenta bilhoes de 
dolares em comercio eletronico e ainda e possfvel que tenhamos que cumprir leis impostas 
por pafses que ja consolidaram os seus institutos juridicos. 

Hoje, a popularizacao da certificacao digital no Brasil, depende basicamente de 
tres fatores: a disseminacao dos conceitos basicos e da tecnologia de certificacao digital para 
os potenciais usuarios; a reducao dos custos de sua utilizacao e a confianca adquirida nas 
entidades certificadoras pelo usuario final. Esse ultimo fator nao pode ser imposto, tern que 
ser adquirido e isso depende tanto da implementa§ao tecnologica disponibilizada pelas 
entidades certificadoras, como da existencia de uma legisla§ao justa e aplicavel na pratica. 
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11. ANEXO I - LEGISLAQAO 



PROJETO DE LEI DA CAMARA N° 2.644 DE 1996 

Autor: Dep. Jovair Arantes 

Dispoe sobre a elaboragao, o arquivamento e o uso de documentos eletronicos. 

0 Congresso Nacional decreta: 

Art. 1 s Considera-se documento eletronico, para os efeitos desta Lei, todo documento, publico ou 
particular, originado por processamento eletronico de dados e armazenado em meio magnetico, 
optomagnetico, eletronico ou similar. 

Art. 2 s Considera-se original o documento eletronico autenticado por assinatura eletronica, 
processado segundo procedimentos que assegurem sua autenticidade e armazenado de modo a 
preservar sua integridade. 

Art. 3 s No caso de transagoes que gerem grandes volumes de registros ou informagoes complexas, e 
admissivel a aceitagao de urn sumario da operagao para sua comprovagao, desde que os registros 
detalhados estejam disponiveis a qualquer momento. 

Art. 4 s E copia fiel a impressao em papel dos dados contidos em documento eletronico autenticado, 
desde que obtida por meios que assegurem sua fidedignidade aos dados originais. 

Art. 5 s E obrigagao do administrador de recursos computacionais que produz, armazena, processa ou 
transmite documento eletronico: 

1 - assegurar protegao contra acesso, uso, alteragao, reproducao ou destruigao indevida dos 
documentos; 

II - prover metodos e processos racionais que facilitem a busca de documentos; 

III - manter registro de todos os procedimentos efetuados nos documentos para fins de auditoria; 

IV - prever procedimentos de seguranga a serem adotados em caso de acidentes que possam 
danificar, destruirou impossibilitar o acesso aos dados armazenados ou em processamento. 

Art. 6 s Constitui crime: 

I - utilizar ou reproduzir indevidamente documento eletronico; 
Pena - reclusao de 1 (urn) a 2 (dois) anos e multa; 

II - modificar ou destruir documento eletronico de outrem; 
Pena - reclusao de 2 (dois) anos a 5 (cinco) anos e multa; 

III - interferir indevidamente no funcionamento do computador ou rede de computadores provo- 
cando a modificagao ou destruigao de documento eletronico; 

Pena - reclusao de 2 (dois) a 6 (seis) anos e multa; 

IV - Impossibilitar ou dificultar o legitimo acesso a documento eletronico; 
Pena - detengao de 1 (urn) a 3 (tres) anos e multa; 

V - Deixar o administrador de recursos computacionais de armazenar documento eletronico: 
a) em equipamento que nao disponha de registro dos procedimentos efetuados; 
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b) sem manter procedimentos de seguranga para o caso de acidente; 
Pena - detencao de 1 (urn) a 2 (dois) anos e multa. 

Art. 7 s Esta lei entra em vigor na data de sua publicagao. 

Art. 8 s Revogam-se as disposigoes em contrario. 



PROJETO DE LEI DO SENADO N° 3.173 DE 26 DE MAIO DE 1997 

Autor: Sen. Sebastiao Rocha 

Dispoe sobre os documentos produzidos e os arquivados em meios eletronicos e da outras 
providencias. 

O Congresso Nacional decreta: 

Art. 1 ° E autorizado em todo o territorio nacional o arquivamento em meio eletronico de informagoes, 
dados, imagens e quaisquer outros documentos que constituam o acervo documental das empresas 
privadas e orgaos e entidades da Administragao Publica Federal, Estadual e Municipal direta e 
indireta, das fundagoes instituidas ou mantidas pelo Poder Publico e demais organizagoes sobre 
controle direto ou indireto da Uniao e do Distrito Federal, garantida a integridade do acervo. 

§ 1 O arquivamento de documentos em meio eletronico dependera de disciplinamento proprio nas 
empresas privadas e orgaos de entidades da Administragao Publica Federal, Estadual e Municipal 
direta e indireta, das fundagoes instituidas ou mantidas pelo Poder Publico e demais organizagoes 
sobre controle direto ou indireto da Uniao e do Distrito Federal, observando o que determina o 
decreto regulamentador especifico. 

§ 2°Os registros originais, independentemente de seus suportes ou meio onde foram gerados, apos 
serem arquivados eletronicamente, poderao, a criterio da autoridade competente, ser eliminados ou 
transferidos para outro suporte e local, observada a legislagao pertinente. 

§ 3° Para os efeitos de preservagao da integridade dos documentos, o meio eletronico utilizado, 
qualquer que seja sua forma ou natureza, devera garantir a autenticidade, a indelibilidade e a 
confidencialidade dos documentos, protegendo-os contra todo o acesso, uso, alteragao de conteudo 
ou qualidade, reprodugao, e destruigao nao autorizadas. 

§ 4°Terao valor probante, em juizo ou fora dele, as reprodugoes obtidas do sistema de arquivamento 
eletronico, desde que sejam perfeitamente legiveis e fieis aos respectivos registros originais e 
atendam ao decreto regulamentador especifico. 

Art. 2° As unidades da Administragao Publica direta e indireta, as fundagoes e organizagoes sob 
controle direto ou indireto da Uniao, Distrito Federal, Estados e Municipios e as empresas privadas 
para se utilizarem de sistema de arquivamento eletronico deverao manter procedimentos voltados a 
gestao de seus documentos, conforme a sua conveniencia e preceituado em Lei. 

§ 1 ° Os documentos arquivados eletronicamente, utilizarao obrigatoriamente urn sistema de 
indexagao e obedecerao a urn processo previamente documentado e aprovado pela autoridade 
competente. 

§ 2° O sistema de arquivamento eletronico devera propiciar uma rapida e eficiente localizagao dos 
documentos, bem como permitir a verificagao da fidelidade ao processo previamente definido e 
aprovado pela autoridade competente. 

Art. 3° E assegurado o acesso aos documentos dos orgaos publicos e instituigoes de carater 
publico, produzidos e os arquivados em meio eletronico, ressalvados aqueles considerados como 
segredo de justiga e sigilosos, na forma da legislagao em vigor. 
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Art. 4° As duvidas ou questionamentos sobre as reprodugoes obtidas de sistemas de arquivamento 
eletronico deverao ser dirimidas a partir da documentagao do processo aprovado pela autoridade 
competente e respectivos originais. 

Art. 5° Ficarao sujeito a responsabilidade penal, civil e administrativa, de acordo com a Legislagao 
em vigor, aquele que desfigurar ou destruir documentos de valor permanente ou considerado como 
de interesse publico e social arquivados, produzidos ou reproduzidos na forma prevista nesta Lei. 

Art. 6° Esta Lei entra em vigor na data de sua publicagao. 

Art. 7° Revogam-se as disposigoes em contrario. 
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PROJETO DE LEI DA CAMARA N° 4.734 DE 12 DE AGOSTO DE 1998 

Autor: Dep. Paulo Lima 

Dispoe sobre a informatizagao, no ambito da Lei n s 6.015 de 31 de dezembro de 1973 - Lei de 
Registros Publicos - da escrituragao cartoraria atraves de discos opticos e optomagneticos ou em 
outros meios reconhecidos como legais, sem prejuizo dos metodos atualmente empregados. 

O Congresso Nacional decreta: 



Art. 1 s Acrescente-se o seguinte art. 7 2 A, a Lei n e 6.015, de 31 de dezembro de 1973 - Lei sobre os 
Registros Publicos: 

"Art. 7 S A Sem prejuizo dos metodos atualmente utilizados e de outros que vierem a ser estabelecidos 
em lei, na escrituragao a que se refere esta lei podera ser empregada a informatizagao com a 
utilizagao de discos opticos e optomagneticos, observadas as disposigoes do capitulo V deste Titulo. 

Art. 2 s Esta lei entra em vigor na data de sua publicagao. 



EXCERTO DA LEI N° 6.015, DE 31 DE DEZEMBRO DE 1973 

CAPITULO V 

Da Conservacao 

Art. 22. Os livros de registro, bem como as fichas que os substituam, somente sairao do respectivo 
cartorio mediante autorizagao judicial. 

Art. 23. Todas as diligencias judiciais e extrajudiciais que exigirem a apresentacao de qualquer livro, 
ficha substitutiva de livro ou documento, efetuar-se-ao no proprio cartorio. 

Art. 24. Os oficiais devem manter, em seguranga, permanentemente, os livros e documentos e 
respondem pela sua ordem e conservagao. 

Art. 25. Os papeis referentes ao servico do registro serao arquivados em cartorio mediante a 
utilizagao de processos racionais que facilitem as buscas, facultada a utilizagao de microfilmagem e 
de outros meios de reprodugao autorizados em lei. 

Art. 26. Os livros e papeis pertencentes ao arquivo do cartorio ali permanecerao indefinidamente. 

Art. 27. Quando a lei criar novo cartorio, e enquanto este nao for instalado, os registros continuarao a 
ser feitos no cartorio que sofreu o desmembramento, nao sendo necessario repeti-los no novo oficio. 

Paragrafo unico. O arquivo do antigo cartorio continuara a pertencer-lhe. 
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DECRETO N° 2.954 DE 29 DE JANEIRO DE 1999 

(Revogado pelo DECRETO N° 4.176, DE 28 DE MARCO DE 2002) 
Autor: Poder Executivo 



Estabelece regras para a redagao de atos normativos de competencia dos orgaos do Poder 
Executivo. 



O PRESIDENTE DA REPUBLICA, no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, da 
Constituigao, e tendo em vista o disposto na Lei Complementar n s 95, de 26 de fevereiro de 1998, e 
Considerando a necessidade do controle de juridicidade e legitimidade dos atos normativos, assim 
como a uniformizagao dos atos e procedimentos administrativos, 

DECRETA: 

CAPITULO I - DA ELABORACAO DOS ATOS NORMATIVOS 

Art. 1 s . Os orgaos e as entidades da Administragao Publica Federal observarao as normas e diretrizes 
constantes deste Decreto e as do Manual de Redacao da Presidencia da Republica na elaboragao 
dos seguintes atos a serem encaminhados a Casa Civil da Presidencia da Republica, e, no que 
couber, aos demais atos de regulamentagao expedidos por orgaos do Poder Executivo: 



Art. 57-A. A partir de 1o de janeiro de 2001, os documentos a que se refere este Decreto somente 
serao recebidos, na Casa Civil da Presidencia da Republica, por meio eletronico.-(Artigo incluido pelo 
Decreto n e 3.585, de 05/09/2000) 



OBS: O texto deste decreto e de volume razoavel e para tanto foram expostos somente os artigos 
relevantes ao tema do presente trabalho para fins de clareza e concisao. 
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PROJETO DE LEI DA CAMARA N° 1.483 DE 12 DE AGOSTO 1999 

Autor: Dep. Helio de Oliveira Santos 

Institui a fatura eletronica e a assinatura digital nas transacoes de "comercio" eletronico. 

Art. 1 s Fica instituida a fatura eletronica, assim como a assinatura digital, nas transagoes comerciais 
eletronicas realizadas em todo o territorio nacional. 

Art. 2 s A assinatura digital tera sua autenticagao e reconhecimento certificado por orgao publico que 
sera regulamentado para este fim. 

Paragrafo Unico. Toda documentagao eletronica, bem como o cadastro de assinaturas digitais, 
deverao estar com seus registros disponiveis para avaliacao e fiscalizagao dos orgaos federais 
responsaveis. 
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PROJETO DE LEI DA CAMARA N° 1.532 DE 19 DE AGOSTO DE 1999 

Autor: Dep. Angela Guadagnin 

Dispoe sobre a elaboragao e arquivamento de documentos em meios eletromagneticos 
O Congresso Nacional decreta: 

Art. 1 s Sao validos e eficazes, para qualquer efeito, os documentos publicos e particulares elaborados 
ou arquivados em qualquer meio eletromagnetico ou equivalente que preserve a integridade dos 
documentos. 

Paragrafo Unico - Para os efeitos de preservagao da integridade de documentos, o meio eletronico 
utilizado, qualquer que seja sua forma ou natureza, devera garantir a seguranga, a autenticidade, a 
nitidez, a indelebilidade e a confidencialidade dos documentos, protegendo-os contra todo acesso, 
uso, alteragao, reprodugao e destruigao nao autorizados. 

Art. 2 s Para os fins desta Lei e de sua regulamentagao, entende-se por documento qualquer 
instrumento atraves do qual se formalizam ou registram atos juridicos, em qualquer de suas 
modalidades, sejam eles de natureza civil, comercial, administrativa, tributaria, trabalhista, processual 
ou outra. 

Art. 3 s Observadas as disposigoes desta Lei e de sua regulamentagao, a reprodugao, inclusive em 
papel, a partir do meio eletronico em que o documento e elaborado ou arquivado, e considerada 
documento original para todos os efeitos legais. 

§1 S - Sera vedada a exigencia de exibigao em papel dos documentos nesta forma originalmente 

elaborados, quando estiverem arquivados em meio eletronico, nos termos desta lei. 

§2 S - Em decorrencia do disposto no paragrafo anterior, sera facultada a destruigao dos documentos 

originais em papel cujo arquivamento esteja sendo feito em meio eletronico, nos termos desta Lei, 

ressalvados os documentos de valor historico, cuja preservagao devera observar a legislagao 

pertinente. 

Art. 4 s Para assegurar a integridade dos documentos elaborados ou arquivados na forma prevista 
nesta Lei, serao adotados, dentre outros, os mecanismos tecnologicos disponiveis de assinatura 
eletronica e de codigos personalizados para o acesso, reprodugao e transmissao de documentos, 
bem como de metodos eficazes de preservagao de documentos em situagoes de emergencia, tais 
como incendios, inundagoes, greves e outras que possam colocar em risco os sistemas 
computacionais utilizados para os fins aqui previstos. 

Paragrafo Unico - Em qualquer caso, na utilizagao de meio eletronico na forma e para os fins 
previstos nesta Lei, deverao ser adotados metodos e processos racionais que facilitem a busca de 
documentos, e que garantam trilhas de auditoria. 

Art. 5 s Quando se tratar de registros publicos, o meio eletronico utilizado devera garantir os requisitos 
de arquivamento e preservagao permanentes dos documentos, para os efeitos do disposto na 
legislagao pertinente. 

Paragrafo Unico - Nos demais casos, e desde que decorridos os respectivos prazos de decadencia 
ou prescrigao e mediante a competente autorizagao, os documentos poderao ser destruidos por 
qualquer meio que assegure sua desintegragao. 
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Art. 6 s Competira a Associagao Brasileira de Normas Tecnicas ABNT emitir norma fixando os 
requisitos tecnicos a serem observados para os efeitos desta Lei. 

Art. 1- A infragao a qualquer das disposigoes desta Lei e de sua regulamentagao sujeitara o infrator 
as penalidades previstas na legislacao brasileira. 

Art. 8 s Esta Lei entra em vigor na data de sua publicagao. 

Art. 9 s Revogam-se as disposigoes em contrario. 
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PROJETO DE LEI DA CAMARA N° 1.589 DE 31 DE AGOSTO DE 1999 

Autor: Dep. Luciano Pizzatto e outros (OAB) 

Dispoe sobre o comercio eletronico, a validade jundica do documento eletronico e a assinatura digital, 
e da outras providencias. 

(Apense-se ao projeto de lei n s 1.483, de 1999.) 

O Congresso Nacional decreta: 

Ti'tulo I - Definicoes Gerais 
Capi'tulo I - Do ambito de aplicacao 

Art. 1 s - A presente lei regula o comercio eletronico, a validade e o valor probante dos documentos 
eletronicos, bem como a assinatura digital. 

Capi'tulo II - Dos princi'pios gerais 

Art. 2 s - A interpretagao da presente lei deve considerar o contexto internacional do comercio 
eletronico, o dinamico progresso dos instrumentos tecnologicos, e a boa-fe das relagoes comerciais. 
Paragrafo unico - As questoes relativas a materias regidas pela presente lei, e que nao estejam nela 
expressamente previstas, serao dirimidas de conformidade com os principios gerais que dela 
decorrem. 

Ti'tulo II - Comercio Eletronico 
Capi'tulo I - Da desnecessidade de autorizacao previa 

Art. 3 s - O simples fato de ser realizada por meio eletronico nao sujeitara a oferta de bens, servigos e 
informagoes a qualquer tipo de autorizagao previa. 

Capi'tulo II - Das informacoes previas 

Art. 4 s - A oferta de contratagao eletronica deve conter claras e inequivocas informagoes sobre: a) 
nome do ofertante, e o numero de sua inscrigao no cadastro geral do Ministerio da Fazenda, e ainda, 
em se tratando de servigo sujeito a regime de profissao regulamentada, o numero de inscrigao no 
orgao fiscalizador ou regulamentador; b) enderego fisico do estabelecimento; c) identificagao e 
enderego fisico do armazenador; d) meio pelo qual e possivel contatar o ofertante, inclusive correio 
eletronico; e) o arquivamento do contrato eletronico, pelo ofertante; f) instrugoes para arquivamento 
do contrato eletronico, pelo aceitante, bem como para sua recuperagao, em caso de necessidade; e 
g) os sistemas de seguranga empregados na operagao. 

Capi'tulo III - Das informacoes privadas do destinatario 

Art. 5 s - O ofertante somente podera solicitar do destinatario informagoes de carater privado 
necessarias a efetivagao do negocio oferecido, devendo mante-las em sigilo, salvo se previa e 
expressamente autorizado a divulga-las ou cede-las pelo respectivo titular. § 1 s - A autorizagao de 
que trata o caput deste artigo constara em destaque, nao podendo estar vinculada a aceitagao do 
negocio. § 2 s - Responde por perdas e danos o ofertante que solicitar, divulgar ou ceder informagoes 
em violagao ao disposto neste artigo. 
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Capi'tulo IV - Da contratacao eletronica 



Art. 6 s - A oferta publica de bens, servigos ou informagoes a distancia deve ser realizada em ambiente 
seguro, devidamente certificado. 

Art. 1- - Os sistemas eletronicos do ofertante deverao transmitir uma resposta eletronica automatica, 
transcrevendo a mensagem transmitida anteriormente pelo destinatario, e confirmando seu 
recebimento. 

Art. 8 s - O envio de oferta por mensagem eletronica, sem previo consentimento dos destinatarios, 
devera permitir a estes identifica-la como tal, sem que seja necessario tomarem conhecimento de seu 
conteudo. 

Capi'tulo V - Dos intermediaries 

Art. 9 s - O intermediario que fornega servigos de conexao ou de transmissao de informagoes, ao 
ofertante ou ao adquirente, nao sera responsavel pelo conteudo das informagoes transmitidas. 

Art. 10 - O intermediario que fornega ao ofertante servigos de armazenamento de arquivos e de 
sistemas necessarios para operacionalizar a oferta eletronica de bens, servigos ou informagoes, nao 
sera responsavel pelo seu conteudo, salvo, em agao regressiva do ofertante, se: a) deixou de 
atualizar, ou os seus sistemas automatizados deixaram de atualizar, as informagoes objeto da oferta, 
tendo o ofertante tornado as medidas adequadas para efetivar as atualizagoes, conforme instrugoes 
do proprio armazenador; ou b) deixou de arquivar as informagoes, ou, tendo-as arquivado, foram elas 
destruidas ou modificadas, tendo o ofertante tornado as medidas adequadas para seu arquivamento, 
segundo parametros estabelecidos pelo armazenador. 

Art. 11-0 intermediario, transmissor ou armazenador, nao sera obrigado a vigiar ou fiscalizar o 
conteudo das informagoes transmitidas ou armazenadas. Paragrafo unico - Responde civilmente por 
perdas e danos, e penalmente, por co-autoria do delito praticado, o armazenador de informagoes que, 
tendo conhecimento inequivoco de que a oferta de bens, servigos ou informagoes constitui crime ou 
contravengao penal, deixar de promover sua imediata suspensao, ou interrupgao de acesso por 
destinatarios, competindo-lhe notificar, eletronicamente ou nao, o ofertante, da medida adotada. 

Art. 12-0 intermediario devera guardar sigilo sobre as informagoes transmitidas, bem como sobre as 
armazenadas, que nao se destinem ao conhecimento publico. Paragrafo unico - Somente mediante 
ordem judicial podera o intermediario dar acesso as informagoes acima referidas, sendo que as 
mesmas deverao ser mantidas, pelo respectivo juizo, em segredo de justiga. 



Capi'tulo VI - Das normas de protecao e de defesa do consumidor 

Art. 13 - Aplicam-se ao comercio eletronico as normas de defesa e protegao do consumidor. § 1 s - Os 
adquirentes de bens, de servigos e informagoes mediante contrato eletronico poderao se utilizar da 
mesma via de comunicagao adotada na contratagao, para efetivar notificagoes e intimagoes 
extrajudiciais, a fim de exercerem direito consagrado nas normas de defesa do consumidor. § 2 s - 
Deverao os ofertantes, no proprio espago que serviu para oferecimento de bens, servigos e 
informagoes, disponibilizar area especifica para fins do paragrafo anterior, de facil identificagao pelos 
consumidores, e que permita seu armazenamento, com data de transmissao, para fins de futura 
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comprovagao. § 3 s - O prazo para atendimento de notificagao ou intimagao de que trata o paragrafo 
primeiro comega a fluir da data em que a respectiva mensagem esteja disponivel para acesso pelo 
fornecedor. § 4 s - Os sistemas eletronicos do ofertante deverao expedir uma resposta eletronica 
automatica, incluindo a mensagem do remetente, confirmando o recebimento de quaisquer 
intimagoes, notificagoes, ou correios eletronicos dos consumidores. 

Ti'tulo III - Documentos Eletronicos 
Capi'tulo I - Da eficacia jun'dica dos documentos eletronicos 

Art. 14 - Considera-se original o documento eletronico assinado pelo seu autor mediante sistema 
criptografico de chave publica. § 1 s - Considera-se copia o documento eletronico resultante da 
digitalizagao de documento fisico, bem como a materializagao fisica de documento eletronico original. 
§ 2 s - Presumem-se conformes ao original, as copias mencionadas no paragrafo anterior, quando 
autenticadas pelo escrivao na forma dos arts. 33 e 34 desta lei. § 3 s - A copia nao autenticada tera o 
mesmo valor probante do original, se a parte contra quern foi produzida nao negar sua conformidade. 

Art. 15 - As declaragoes constantes do documento eletronico, digitalmente assinado, presumem-se 
verdadeiras em relagao ao signatario, desde que a assinatura digital: a) seja unica e exclusiva para o 
documento assinado; b) seja passivel de verificagao; c) seja gerada sob o exclusivo controle do 
signatario; d) esteja de tal modo ligada ao documento eletronico que, em caso de posterior alteragao 
deste, a assinatura seja invalidada; e e) nao tenha sido gerada posteriormente a expiragao, 
revogagao ou suspensao das chaves. 

Art. 16 - A certificagao da chave publica, feita pelo tabeliao na forma do Capitulo II do Titulo IV desta 
lei, faz presumir sua autenticidade. 

Art.17 - A certificagao de chave publica, feita por particular, prevista no Capitulo I do Titulo IV desta 
lei, e considerada uma declaragao deste de que a chave publica certificada pertence ao titular 
indicado e nao gera presungao de autenticidade perante terceiros. Paragrafo unico - Caso a chave 
publica certificada nao seja autentica, o particular, que nao exerga a fungao de certificagao de chaves 
como atividade economica principal, ou de modo relacionado a sua atividade principal, somente 
respondera perante terceiros pelos danos causados quando agir com dolo ou fraude. 

Art. 18 - A autenticidade da chave publica podera ser provada por todos os meios de direito, vedada a 
prova exclusivamente testemunhal. 

Art. 19 - Presume-se verdadeira, entre os signatarios, a data do documento eletronico, sendo licito, 
porem, a qualquer deles, provar o contrario por todos os meios de direito. § 1 s - Apos expirada ou 
revogada a chave de algum dos signatarios, compete a parte a quern o documento beneficiar a prova 
de que a assinatura foi gerada anteriormente a expiragao ou revogagao. § 2 s - Entre os signatarios, 
para os fins do paragrafo anterior, ou em relagao a terceiros, considerar-se-a datado o documento 
particular na data: I - em que foi registrado; II - da sua apresentagao em repartigao publica ou em 
juizo; III - do ato ou fato que estabelega, de modo certo, a anterioridade da formagao do documento e 
respectivas assinaturas. 

Art. 20 - Aplicam-se ao documento eletronico as demais disposigoes legais relativas a prova 
documental, que nao colidam com as normas deste Titulo. 

Capitulo II - Da falsidade dos documentos eletronicos 
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Art. 21 - Considera-se falso o documento eletronico quando assinado com chaves fraudulentamente 
geradas em nome de outrem. 

Art. 22 - O juiz apreciara livremente a fe que deva merecer o documento eletronico, quando 
demonstrado ser possivel altera-lo sem invalidar a assinatura, gerar uma assinatura eletronica 
identica a do titular da chave privada, derivar a chave privada a partir da chave publica, ou pairar 
razoavel duvida sobre a seguranga do sistema criptografico utilizado para gerar a assinatura. 

Art. 23 - Havendo impugnagao do documento eletronico, incumbe o onus da prova: I - a parte que 
produziu o documento, quanto a autenticidade da chave publica e quanto a seguranga do sistema 
criptografico utilizado; II - a parte contraria a que produziu o documento, quando alegar apropriagao e 
uso da chave privada por terceiro, ou revogagao ou suspensao das chaves. Paragrafo unico - Nao 
sendo alegada questao tecnica relevante, a ser dirimida por meio de pericia, podera o juiz, ao 
apreciar a seguranga do sistema criptografico utilizado, valer-se de conhecimentos proprios, da 
experiencia comum, ou de fatos notorios. 

Ti'tulo IV - Certificados Eletronicos 
Capi'tulo I - Dos certificados eletronicos privados 

Art. 24 - Os servigos prestados por entidades certificadoras privadas sao de carater comercial, 
essencialmente privados e nao se confundem em seus efeitos com a atividade de certificagao 
eletronica por tabeliao, prevista no Capitulo II deste Titulo. 

Capi'tulo II - Dos certificados eletronicos publicos 
Secao I - Das certificates eletronicas pelo tabeliao 

Art. 25 - O tabeliao certificara a autenticidade de chaves publicas entregues pessoalmente pelo seu 
titular, devidamente identificado; o pedido de certificagao sera efetuado pelo requerente em ficha 
propria, em papel, por ele subscrita, onde constarao dados suficientes para identificagao da chave 
publica, a ser arquivada em cartorio. § 1 s - O tabeliao devera entregar ao solicitante informagoes 
adequadas sobre o funcionamento das chaves publica e privada, sua validade e limitagoes, bem 
como sobre os procedimentos adequados para preservar a seguranga das mesmas. § 2 s - E defeso 
ao tabeliao receber em deposito a chave privada, bem como solicitar informagoes pessoais do 
requerente, alem das necessarias para desempenho de suas fungoes, devendo utiliza-las apenas 
para os propositus da certificagao. 

Art. 26-0 certificado de autenticidade das chaves publicas devera conter, no mmimo, as seguintes 
informagoes: I - identificagao e assinatura digital do tabeliao; II - data de emissao do certificado; III - 
identificagao da chave publica e do seu titular, caso o certificado nao seja diretamente apensado 
aquela; IV - elementos que permitam identificar o sistema criptografado utilizado; V - nome do titular 
e poder de representagao de quern solicitou a certificagao, no caso do titular ser pessoa juridica. 
Paragrafo unico - Na falta de informagao sobre o prazo de validade do certificado, este sera de 2 
(dois) anos, contados da data de emissao. 

Secao II - Da revogacao de certificados eletronicos 

Art. 27-0 tabeliao devera revogar urn certificado eletronico: a) a pedido do titular da chave de 
assinatura ou de seu representante; b) de oficio ou por determinagao do Poder Judiciario, caso se 
verifique que o certificado foi expedido baseado em informagoes falsas; e c) se tiver encerrado suas 
atividades, sem que tenha sido sucedido por outro tabeliao. 1 s - A revogagao deve indicar a data a 
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partir da qual sera aplicada. § 2- - Nao se admite revogagao retroativa, salvo nas hipoteses dos 
paragrafos 3 s e 4 s do art. 28. 

Art. 28-0 titular das chaves e obrigado a adotar as medidas necessarias para manter a 
confidencialidade da chave privada, devendo revoga-la de pronto, em caso de comprometimento de 
sua seguranga. § 1 s - A revogagao da chave publica certificada devera ser feita perante o tabeliao 
que emitiu o certificado; se a chave revogada contiver certificados de autenticidade de varios oficiais, 
a revogagao podera ser feita perante qualquer deles, ao qual competira informar os demais, de 
imediato. § 2 s - A revogagao da chave publica somente podera ser solicitada pelo seu titular ou por 
procurador expressamente autorizado. § 3 s - Pairando duvida sobre a legitimidade do requerente, ou 
nao havendo meios de demonstra-la em tempo habil, o tabeliao suspendera provisoriamente, por ate 
trinta dias, a eficacia da chave publica, notificando imediatamente o seu titular, podendo, para tanto, 
utilizar-se de mensagem eletronica; revogada a chave dentro deste prazo, os efeitos da revogagao 
retroagirao a data da suspensao. § 4 s - Havendo mera duvida quanto a seguranga da chave privada, 
e licito ao titular pedir a suspensao dos certificados por ate trinta dias, aplicando-se o disposto na 
parte final do paragrafo anterior. 

Art. 29 - O tabeliao devera manter servico de informagao, em tempo real e mediante acesso 
eletronico remoto, sobre as chaves por ele certificadas, tornando-as acessiveis ao publico, fazendo- 
se mengao as que tenham sido revogadas. 

Art. 30 - O tabeliao somente podera certificar chaves geradas por sistema ou programa de 
computador que tenha recebido parecer tecnico favoravel a respeito de sua seguranga e 
confiabilidade, emitido pelo Ministerio da Ciencia e Tecnologia. 

Secao III - Do encerramento das atividades de certificacao 

Art. 31 - Caso encerre as atividades de certificagao eletronica, o tabeliao devera assegurar que os 
certificados emitidos sejam transferidos para outro tabeliao, ou sejam bloqueados. 

Art. 32-0 tabeliao devera transferir as documentagoes referidas nos arts. 25 e 40 desta lei, ao 
tabeliao que Ihe suceder, ou, caso nao haja sucessao, ao Poder Judiciario. 

Secao IV - Da autenticagao eletronica 

Art. 33 - A assinatura digital do tabeliao, langada em copia eletronica de documento fisico original, 
tern o valor de autenticagao. 

Art. 34 - A autenticagao de copia fisica de documento eletronico original contera: a) o nome dos que 
nele apuseram assinatura digital; b) os identificadores das chaves publicas utilizadas para 
conferencia das assinaturas e respectivas certificagoes que contiverem; c) a data das assinaturas; d) 
a declaragao de que a copia impressa confere com o original eletronico e de que as assinaturas 
digitais foram conferidas pelo escrivao com o uso das chaves publicas acima indicadas; e) data e 
assinatura do escrivao. 

Secao V - Da responsabilidade dos tabeliaes 

Art. 35-0 tabeliao e responsavel civilmente pelos danos diretos e indiretos sofridos pelos titulares 
dos certificados e quaisquer terceiros, em consequencia do descumprimento, por si proprios, seus 
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prepostos ou substitutos que indicarem, das obrigagoes decorrentes do presente diploma e sua 
regulamentacao. Segao VI - Dos Registros Eletronicos 

Art. 36-0 Registro de Titulo e Documentos fica autorizado a proceder a transcrigao e ao registro de 
documentos eletronicos particulares, para os fins previstos na Lei n e 6.015, de 31 de dezembro de 
173. Paragrafo unico - Podera o Poder Judiciario autorizar o uso de documentos eletronicos em 
atividades notariais e de registro nao previstas expressamente na presente lei, adotando a 
regulamentagao adequada, considerando inclusive as questoes de seguranga envolvidas. 

Titulo V - Autoridades Competentes 
Capi'tulo I - Do Poder Judiciario 

Art. 37 - Compete ao Poder Judiciario: a) autorizar os tabeliaes a exercerem atividade de certificagao 
eletronica; b) regulamentar o exercicio das atividades de certificagao, obedecidas as disposigoes 
desta lei; c) fiscalizar o cumprimento, pelos tabeliaes, do disposto nesta lei e nas normas por ele 
adotadas, quanto ao exercicio de suas fungoes; e d) impor as penalidades administrativas cabiveis, 
obedecido o processo legal, e independente das responsabilidades civis e penais dos tabeliaes e 
seus oficiais. Paragrafo unico: Nao sera deferida autorizagao ao exercicio da atividade de certificagao 
eletronica a tabeliao que nao apresentar parecer tecnico favoravel emitido pelo Ministerio da Ciencia 
e Tecnologia. 

Capi'tulo II - Do Ministerio da Ciencia e Tecnologia 

Art. 38 - Compete ao Ministerio de Ciencia e Tecnologia: a) regulamentar os aspectos tecnicos do 
exercicio de atividade de certificagao eletronica pelos tabeliaes, dispondo inclusive sobre os 
elementos que devam ser observados em seus pianos de seguranga; b) emitir parecer tecnico sobre 
solicitagao de tabeliao para o exercicio de atividade de certificagao eletronico; e c) emitir os 
certificados para chaves de assinatura que a serem utilizadas pelos tabeliaes para firmarem 
certificados, devendo manter constantemente acessiveis ao publico os certificados que tenha emitido, 
atraves de conexao por instrumentos de telecomunicagoes. Paragrafo primeiro - O Ministerio da 
Ciencia e Tecnologia revisara a cada 2 (dois) anos o regulamento tecnico da certificagao eletronica, 
previsto na alinea a deste artigo, de forma a mante-lo atualizado de acordo com os avangos da 
tecnologia. Paragrafo segundo - Nao sera emitido parecer tecnico favoravel ao solicitante que: a) nao 
apresentar conhecimento ou as condigoes tecnicas necessarias para o exercicio de suas atividades; 
b) nao apresentar piano de seguranga, ou, apresentando-o, for ele indeferido, ou ainda, caso seja 
constatado que o piano por ele proposto nao esta adequadamente implantado em suas dependencias 
e sistemas. 

Art. 39 - Devera o Ministerio da Ciencia e Tecnologia promover fiscalizagao em periodicidade 
adequada, quanto ao cumprimento, pelos tabeliaes, das normas tecnicas por ele adotadas. Paragrafo 
unico - Apurando a fiscalizagao de que trata este artigo qualquer irregularidade no cumprimento das 
normas tecnicas, devera notificar o tabeliao para apresentar defesa no prazo maximo de 5 (cinco) 
dias, bem como emitir, a proposito da defesa apresentada, manifestagao fundamentada, em igual 
prazo, encaminhando os autos para o Poder Judiciario decidir. 

Art. 40 - O tabeliao devera: a) documentar os sistemas que emprega na certificagao, e as medidas 
constantes de seu piano de seguranga, permitindo acesso a essa documentagao pela fiscalizagao do 
Ministerio de Ciencia e Tecnologia; e b) documentar os certificados expedidos, vigentes, esgotados e 
revogados, permitindo acesso a essa documentagao pela fiscalizagao do Poder Judiciario. 



132 



Ti'tulo VI - Sancoes Administrativas 



Art. 41 - As infragoes as normas estabelecidas nos Titulos IV e V desta lei, independente das 
sangoes de natureza penal, e reparagao de danos que causarem, sujeitam os tabeliaes as seguintes 
penalidades: I - multa, de R$ 10.000,00 (dez mil reais) a R$ 1.000.000,00 (urn milhao de reais); II - 
suspensao de certificado; III - cancelamento de certificado; IV - suspensao da autorizagao para 
exercicio de atividade de certificagao eletronica; V - cassagao da autorizagao para exercicio de 
atividade de certificagao eletronica; V - cassagao de licenga de funcionamento. 

Art. 42 - As sangoes estabelecidas no artigo anterior serao aplicadas pelo Poder Judiciario, 
considerando-se a gravidade da infragao, vantagem auferida, capacidade economica, e eventual 
reincidencia. Paragrafo unico - As penas previstas nos incisos II e IV poderao ser impostas por 
medida cautelar antecedente ou incidente de procedimento administrativo. 

Ti'tulo VII - Sancoes Penais 

Art. 43 - Equipara-se ao crime de falsificagao de papeis publicos, sujeitando-se as penas do art. 293 
do Codigo Penal, a falsificagao, com fabricagao ou alteragao, de certificado eletronico publico. 
Paragrafo primeiro - Incorre na mesma pena de crime de falsificagao de papeis publicos quern utilizar 
certificado eletronico publico falsificado 

Art. 44 - Equipara-se ao crime de falsificagao de documento publico, sujeitando-se as penas 
previstas no art. 297 do Codigo Penal, a falsificagao, no todo ou em parte, de documento eletronico 
publico, ou alteragao de documento eletronico publico verdadeiro. Paragrafo unico - Se o agente e 
funcionario publico, e comete o crime prevalecendo-se do cargo, aplica-se o disposto no § 1 s do art. 

297 do Codigo Penal. 

Art. 45 - Equipara-se ao crime de falsidade de documento particular, sujeitando-se as penas do art. 

298 do Codigo Penal, a falsificagao, no todo ou em parte, de documento eletronico particular, ou 
alteragao de documento eletronico particular verdadeiro. 

Art. 46 - Equipara-se ao crime de falsidade ideologica, sujeitando-se as penas do art. 299 do Codigo 
Penal, a omissao, em documento eletronico publico ou particular, de declaragao que dele devia 
constar, ou a insergao ou fazer com que se efetue insergao, de declaragao falsa ou diversa da que 
devia ser escrita, com o fim de prejudicar direito, criar obrigagao ou alterar a verdade sobre fato 
juridicamente relevante. Paragrafo unico - Se o agente e funcionario publico, e comete o crime 
prevalecendo-se do cargo, aplica-se o disposto no paragrafo unico do art. 299 do Codigo Penal. 

Art. 47 - Equipara-se ao crime de falso reconhecimento de firma, sujeitando-se as penas do art. 300 
do Codigo Penal, o reconhecimento, como verdadeira, no exercicio de fungao publica, de assinatura 
eletronica, que nao o seja. 

Art. 48 - Equipara-se ao crime de supressao de documento, sujeitando-se as penas do art. 305 do 
Codigo Penal, a destruigao, supressao ou ocultagao, em beneficio proprio ou de outrem, de 
documento eletronico publico ou particular verdadeiro, de que nao se poderia dispor. 

Art. 49 - Equipara-se ao crime de extravio, sonegagao ou inutilizagao de documento, sujeitando-se as 
penas previstas no art. 314 do Codigo Penal, o extravio de qualquer documento eletronico, de que se 
tern a guarda em razao do cargo; ou sua sonegagao ou inutilizagao, total ou parcial. 
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Ti'tulo VIII - Disposicoes Gerais 



Art. 50 - As certificagoes estrangeiras de assinaturas digitais terao o mesmo valor juridico das 
expedidas no pais, desde que entidade certificadora esteja sediada e seja devidamente reconhecida, 
em pais signatario de acordos internacionais dos quais seja parte o Brasil, relativos ao 
reconhecimento juridico daqueles certificados. 

Paragrafo unico - O Ministerio da Ciencia e Tecnologia fara publicar nos nomes das entidades 
certificadoras estrangeiras que atendam aos requisitos determinados neste artigo. 

Art. 51 - Para a solugao de litigios de materias objeto desta lei podera ser empregado sistema de 
arbitragem, obedecidos os parametros da Lei n 2 9.037, de 23 de setembro de 1996, dispensada a 
obrigagao decretada no § 2 s de seu art. 4 s , devendo, entretanto, efetivar-se destacadamente a 
contratacao eletronica da clausula compromissoria. 

Ti'tulo IX - Disposicoes Finais 

Art. 52 - O Poder Executivo regulamentara a presente lei no prazo de 30 dias, apos o qual deverao o 
Ministerio da Ciencia e Tecnologia e o Poder Judiciario, no prazo de 60 dias, baixar as normas 
necessarias para o exercicio das atribuigoes conferidas pela presente lei. Art. 53 - A presente lei 
entrara em vigor no prazo de 1 80 dias da data de sua publicagao. 
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PROJETO DE LEI DA CAMARA N° 2.589 DE 15 DE MAR^O DE 2000 

Autor: Dep. Edison Andrino 



Altera o disposto no paragrafo unico do art. 541 do Codigo de Processo Civil - Lei n° 5.869 de 1 1 de 
janeiro de 1973, para admitir as decisoes disponiveis em midia eletronica, inclusive na Internet, entre 
as suscetiveis de prova de divergencia jurisprudencial, para os fins do art. 105, III, alinea "c" da 
Constituigao Federal. 

O Congresso Nacional decreta: 

Art. 1 ° - O paragrafo unico do art. 541 do Codigo de Processo Civil, na redagao que Ihe deu a Lei n. 
8.950, de 13.12.94, passa a vigorar com a seguinte redagao: 

"Paragrafo unico - Quando o recurso fundar-se em dissidio jurisprudencial, o recorrente fara prova da 
divergencia mediante certidao, copia autenticada ou pela citagao do repositorio de jurisprudencia, 
oficial ou credenciado, inclusive em midia eletronica, em que tiver sido publicada a decisao 
divergente, ou ainda pela reprodugao de julgado disponivel na Internet, com indicagao da respectiva 
fonte, mencionando em qualquer caso as circunstancias que identifiquem ou assemelhem os casos 
confrontados." 

Art. 2° - Esta lei entrara em vigor na data de sua publicagao, revogadas as disposigoes em contrario. 

EXCERTO DA CONSTITUigAO FEDERAL REFERENTE AO CITADO PL 

Art. 105. Compete ao Superior Tribunal de Justiga: 

III - julgar, em recurso especial, as causas decididas, em unica ou ultima instancia, pelos Tribunals 
Regionais Federais ou pelos tribunals dos Estados, do Distrito Federal e Territorios, quando a decisao 
recorrida: 

c) der a lei federal interpretagao divergente da que Ihe haja atribuido outro tribunal. 
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DECRETO N° 3.585 DE 05 DE SETEMBRO DE 2000 

Autor: Poder Executivo 



Acresce dispositivo ao Decreto n. 2954, de 29 de janeiro de 1999, que estabelece regras para a 
redagao de atos normativos de competencia dos orgaos do Poder Executivo. 

O PRESIDENTE DA REPUBLICA , no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, 
da Constituigao, 



DECRETA: 



Art. 1 e . O Decreto n s 2.954, de 29 de janeiro de 1 999, passa a vigorar acrescido do seguinte artigo: 



"Art. 57-A. A partir de 1 s de Janeiro de 2001, os documentos a que se refere este Decreto somente 
serao recebidos, na Casa Civil da Presidencia da Republica, por meio eletronico. 



Art. 2 s . Este Decreto entra em vigor na data de sua publicagao. 
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DECRETO N° 3.587 DE 05 DE SETEMBRO DE 2000 

Autor: Poder Executivo 

Estabelece normas para a Infra-Estrutura de Chaves Publicas do Poder Executivo Federal - ICP-Gov. 
e da outras providencias. 

0 PRESIDENTE DA REPUBLICA , no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, 
da Constituigao. 

DECRETA: 

CAPITULO I - DISPOSICOES PRELIMINARES 

Art. 1 s . A Infra-Estrutura de Chaves Publicas do Poder Executivo Federal - ICP-Gov sera instituida 
nos termos deste Decreto. 

Art. 2 s . A tecnologia da ICP-Gov devera utilizar criptografia assimetrica para relacionar um certificado 
digital a um individuo ou a uma entidade. 

§ 1 s A criptografia utilizara duas chaves matematicamente relacionadas, onde uma delas e publica e, 
a outra, privada, para criagao de assinatura digital, com a qual sera possivel a realizagao de 
transagoes eletronica seguras e a troca de informagoes sensiveis e classificadas. 

§ 2 s A tecnologia de Chaves Publicas da ICP-Gov viabilizara, no ambito dos orgaos e das entidades 
da Administragao Publica Federal, a oferta de servigos de sigilo, a validade, a autenticidade e 
integridade de dados, a irrevogabilidade e irretratabilidade das transagoes eletronicas e das 
aplicagoes de suporte que utilizem certificados digitais. 

Art. 3 s . A ICP-Gov devera contemplar, dentre outros, o conjunto de regras e politicas a serem 
definidas pela Autoridade de Gerencia de Politicas - AGP, que visem estabelecer padroes tecnicos, 
operacionais e de seguranga para os varios processos das Autoridades Certificadoras - AC, 
integrantes da ICP-Gov. 

Art. 4 s . Para garantir o cumprimento das regras da ICP-Gov, serao instituidos processos de auditoria, 
que verifiquem as relagoes entre os requisitos operacionais determinados pelas caracteristicas dos 
certificados e os procedimentos operacionais adotados pelas autoridades dela integrantes. 

Paragrafo unico. Alem dos padroes tecnicos, operacionais e de seguranga, a ICP-Gov definira os 
tipos de certificados que podem ser gerados pelas AC. 

CAPITULO II - DA ORGANIZACAO DA ICP-GOV 

Art. 5 s . A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto. 

Art. 6 s . A Autoridade de Gerencia de Politicas - AGP, integrante da ICP-Gov., compete: 

1 - propor a criagao da Autoridade Certificadora Raiz - AC Raiz; 

II - estabelecer e administrar as politicas a serem seguidas pelas AC; 

III - aprovar acordo de certificagao cruzada e mapeamento de politicas entre a ICP-Gov e outras ICP 
extern as; 

IV - estabelecer criterios para credenciamento das AC e das Autoridades de Registro - AR; 

V - definir a periodicidade de auditoria nas AC e AR e as sangoes pelo descumprimento de normas 
por ela estabelecidas; 

VI - definir regras operacionais e normas relativas a: 

a) Autoridade Certificadora - AC; 

b) Autoridade de Registro - AR; 

c) assinatura digital; 

d) seguranga criptografica; 

e) repositorio de certificados; 
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f) revogagao de certificados; 

g) copia de seguranga e recuperagao de chaves; 

h) atualizagao automatica de chaves; 

i) historico de chaves; 

j) certificagao cruzadas; 

I) suporte a sistema para garantia de irretratabilidade de transagoes ou de operagoes eletronica; 
m) penodo de validade de certificado; 
n) aplicagoes cliente; 

VII - atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Gov. em 
especial da Politica de Certificados - PC e das Praticas e Regras de Operacao da Autoridade 
Certificadora, de modo a garantir: 

a) atendimento as necessidades dos orgaos e das entidades da Administragao Publica Federal; 

b) conformidade com as politicas de seguranga definidas pelo orgao executor da ICP-Gov; e 

c) atualizagao tecnologica. 

Art. 7 s . Para assegurar a manutengao do grau de confianga estabelecido para a ICP-Gov, as AC e AR 
deverao credenciar-se junto a AGP, de acordo com as normas e os criterios por esta autoridade 
estabelecidos. 

Art. 8 s . Cabe a AC Raiz a emissao e manutengao dos certificados das AC de orgaos e entidades da 
Administragao Publica Federal e das AC privadas credenciadas, bem como o gerenciamento da Lista 
de Certificados Revogados - LCR. 

Paragrafo unico. Poderao ser instituidos niveis diferenciados de credenciamento para as AC, de 
conformidade com a sua finalidade. 

Art. 9 s . As AC devem prestar os seguintes servigos basicos: 

I - emissao de certificados; 

II - revogagao de certificados; 

III - renovagao de certificados; 

IV - publicagao de certificados em diretorio; 

V - emissao de Lista de Certificados Revogados - LCR; 

VI - publicagao de LCR em diretorio; e 

VII - gerencia de chaves criptograficas. 

Paragrafo unico. A disponibilizagao de certificados emitidos e de LCR atualizada sera proporcionada 
mediante uso de diretorio seguro e de facil acesso. 

Art. 1 0. Cabe as AR: 

I - receber as requisigoes de certificagao ou revogagao de certificado por usuario, confirmar a 
identidade destes usuarios e a validade de sua requisigao e encaminhar esses documentos a AC 
responsavel; 

II - entregar os certificados assinados pela AC aos seus respectivos solicitantes. 

CAPITULO III - DO MODELO OPERACIONAL 

Art. 1 1 . A emissao de certificados sera precedida de processo de identificagao do usuario, segundo 
criterios e metodos variados, conforme o tipo ou em fungao do maior ou menor grau de sua 
complexidade. 

Art. 12. No processo de credenciamento das AC, deverao ser utilizados, alem de criterios 
estabelecidos pela AGP e de padroes tecnicos internacionalmente reconhecidos, aspectos adicionais 
relacionados a: 

I - piano de contingencia; 

II - politica e piano de seguranga, logica e humana; 

III - analise de riscos; 

IV - capacidade financeira da proponente; 

V - reputagao e grau de confiabilidade da proponente e de seus gerentes; 
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VI - antecedentes e historico no mercado; e 

VII - mveis de protegao aos usuarios dos seus certificados, em termos de cobertura jundica e seguro 
contra danos. 

Paragrafo unico. O disposto nos incisos IV a VII nao se aplica aos credenciamentos de AC Publicas. 

Art. 13. Obedecidas as especificagoes da AGP, os orgaos e as entidades da Administragao Publica 
Federal poderao implantar sua propria ICP ou ofertar servigos de ICP integrados a ICP-Gov. 

Art. 14. A AC Privada, para prestar servigo a Administragao Publica Federal, deve observar as 
mesmas diretrizes da AC Governamental, salvo outras exigencias que vierem a ser fixadas pela AGP. 

CAPITULO IV - DA POLITICA DE CERTIFICACAO 

Art. 15. Serao definidos tipos de certificados, no ambito da ICP-Gov. que atendam as necessidades 
gerais da maioria das aplicagoes, de forma a viabilizar a interoperabilidade entre ambientes 
computacionais distintos, dentro da Administragao Publica Federal. 

§ 1 s Serao criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os seguintes niveis 
de seguranga, consoante o processo envolvido: 

I - ultra-secretos; 

II - secretos; 

III - confidenciais; 

IV - reservados; e 

V - ostensivos. 

§ 2 s Os certificados, alem de outros que a AGP podera estabelecer, terao uso para: 

I - assinatura digital de documentos eletronicos; 

II - assinatura de mensagem de correio eletronico; 

III - autenticagao para acesso a sistemas eletronicos; e 

IV - troca de chaves para estabelecimento de sessao criptografada. 

Art. 16. A AGP compete tomar as providencias necessarias para que os documentos, dados e 
registros armazenados e transmitidos por meio eletronico, optico, magnetico ou similar passem a ter a 
mesma validade, reconhecimento e autenticidade que se da a seus equivalentes originais em papel. 

CAPITULO V - DAS DISPOSICOES FINAIS 

Art. 17. Para instituigao da ICP-Gov. devera ser efetuado levantamento das demandas existentes nos 
orgaos governamentais quanto aos servigos tipicos derivados da tecnologia de Chaves Publicas, tais 
como, autenticagao, sigilo, integridade de dados e irretratabilidade das transagoes eletronicas. 

Art. 18. O Glossario constante do Anexo II apresenta o significado dos termos e siglas em portugues, 
que sao utilizados no sistema de Chaves Publicas. 

Art. 1 9. Compete ao Comite Gestor de Seguranga da Informagao e concepgao, a especificagao e a 
coordenagao da implementagao da ICP-Gov, conforme disposto no art. 4 s , inciso XIV, do Decreto n s 
3.505, de 13 de junho de 2000. 

Art. 20. Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de publicagao deste 
Decreto, para especificagao, divulgagao e inicio da implementagao da ICP-Gov. 

Art. 21 . Implementados os procedimentos para a certificagao digital de que trata este Decreto, a Casa 
Civil da Presidencia da Republica estabelecera cronograma com vistas a substituigao progressiva do 
recebimento de documentos fisicos por meios eletronicos. 

Art. 22. Este Decreto entra em vigor na data de sua publicagao. 
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DECRETO N° 3.714 DE 03 DE JANEIRO DE 2001 

Autor: Poder Executivo 

Dispoe sobre a remessa por meio eletronico de documentos a que se refere o art. 57-A do Decreto n s 
2.954, de 29 de Janeiro de 1 999, e da outras providencias. 

O PRESIDENTE DA REPUBLICA , no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, 
da Constituigao, 

D EC R ETA : 

Art. 1 s . Para o cumprimento do disposto no art. 57-A do Decreto n s 2.954, de 29 de Janeiro de 1999, 
serao observados os procedimentos estabelecidos neste Decreto. 

Art. 2 s . A transmissao dos documentos a que se refere este Decreto, assinados eletronicamente pela 
autoridade competente, far-se-a por sistema que Ihes garanta a seguranga, a autenticidade e a 
integridade de seu conteudo, bem como a irretratabilidade ou irrecusabilidade de sua autoria. 

Art. 3 s . Cada Ministerio criara caixa postal especifica para recepgao e remessa eletronica de 
propostas dos atos a que se refere o Decreto n e 2.954, de 1999. 

Paragrafo unico. A Casa Civil da Presidencia da Republica fixara o numero de servidores que serao 
indicados e credenciados, pelos Ministros de Estado, para receber e dar destinagao aos atos de que 
trata este artigo. 

Art. 4 s . A recepgao dos documentos oficiais referidos no artigo anterior sera objeto de confirmagao 
mediante aviso de recebimento eletronico. 

Art. 5 s . A caixa postal de que trata o art. 3 s sera dotada de dispositivo ou sistema de seguranga que 
impega a alteragao ou a supressao dos documentos remetidos ou recebidos. 

Art. 6 s . O documento recebido na Casa Civil da Presidencia da Republica sera submetido ao 
Presidente da Republica para despacho, na forma estabelecida pelo Chefe da Casa Civil. 

Art. 7 s . Havendo necessidade de reprodugao de documento em outro meio que nao seja o eletronico, 
o servidor responsavel certificara a autenticidade da copia ou reprodugao. 

Art. 8 s . Cabe a Casa Civil da Presidencia da Republica a administragao do sistema a que se refere 
este Decreto aplicando-se, no que couber, o disposto no Decreto n e 3.587, de 5 de setembro de 2000. 

Art. 9 s . O Chefe da Casa Civil da Presidencia da Republica podera expedir normas complementares 
para cumprimento do disposto neste Decreto. 
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PROJETO DE LEI DO SENADO N° 4.906-A DE 21 DE JUNHO DE 2001 

Autor: Sen. Lucio Alcantara com substitutive do Dep. Julio Semeguini 

Dispoe sobre o comercio eletronico. 

0 congresso Nacional decreta: 

CAPITULO I 
DO COMERCIO ELETRONICO EM GERAL 
Secao Unica 
Disposigoes Preliminares 

Art. 1 s Esta lei, que regula o comercio eletronico em todo o territorio nacional, aplica-se a qualquer 
tipo de informagao na forma de mensagem eletronica usada no contexto de atividades comerciais. 

Art. 2 s Considera-se, para os fins desta Lei: 

1 - mensagem eletronica - a informagao gerada enviada, recebida ou arquivada eletronicamente, por 
meio optico ou por meios similares, incluindo, entre outros, "intercambio eletronico de dados" (IED), 
correio eletronico, telegrama, telex e fax; 

II - intercambio eletronico de dados (IED) - a transferencia eletronica, de computador para 
computador, de informagoes estruturadas de acordo com urn padrao estabelecido para tal fim; 

III - remetente de uma mensagem eletronica - a pessoa pela qual, ou em cujo nome, a mensagem 
eletronica e enviada ou gerada antes de seu armazenamento, caso este se efetue; 

IV - destinatario de uma mensagem eletronica - a pessoa designada pelo remetente para receber a 
mensagem eletronica; 

V - sistema de informagao - e urn sistema para geragao, envio, recepgao, armazenamento ou outra 
forma de processamento de mensagens eletronicas. 

Art. 3 s Na interpretagao desta Lei, levar-se-a em consideragao a necessidade de promover a 
uniformidade da aplicagao de normas sobre o comercio eletronico em nivel internacional. 

Art. 4 s Questoes relativas a materias regidas por esta Lei que nela nao estejam expressamente 
disciplinadas serao solucionadas em conformidade, dentre outras, com os seguintes principios gerais 
nos quais ela se inspira: 

I - facilitar o comercio eletronico interno e externo; 

II - convalidar as operagoes efetuadas por meio de novas tecnologias da informagao; 

III - fomentar e estimular a aplicagao de novas tecnologias da informagao; 

IV - promover a uniformidade do direito aplicavel a materia; e 

V - apoiar as novas praticas comerciais. 

CAPITULO II 

DA APLICACAO DE REQUISITOS LEGAIS AS MENSAGENS ELETRONICAS 

Secao I 

Do Reconhecimento Juri'dico das Mensagens Eletronicas 

Art. 5 s Serao reconhecidos os efeitos juridicos, validade ou eficacia a informagao sob a forma de 
mensagem eletronica e aquela a que se faga remissao mediante a utilizagao dessa especie de 
mensagem. 

Secao II 

Da Exigencia de Informagao Escrita e de Assinatura 

Art. 6 s Quando a lei determinar que uma informagao conste por escrito, este requisito considerar-se-a 
por uma mensagem eletronica, desde que a informagao nela contida seja acessivel para consulta 
posterior. 

Art. 1- No caso de a lei exigir a assinatura de uma pessoa, este requisito considerar-se-a preenchido 
por uma mensagem eletronica, desde que seja utilizado algum metodo para identificar a pessoa e 
indicar sua aprovagao para a informagao contida na mensagem. 

Paragrafo unico. O metodo utilizado devera ser confiavel e apropriado para os propositus para os 
quais a mensagem for gerada ou comunicada, levando-se em consideragao todas as circunstancias 
do caso, inclusive qualquer acordo das partes a respeito. 
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Secao III 

Da Exigencia da Informagao na forma Original 

Art. 8 s Quando a lei estabelecer que uma informagao seja apresentado ou conservada na sua forma 
original, este requisito considerar-se-a preenchido por uma mensagem eletronica, desde que: 

I - haja garantia fidedigna de preservagao de integridade da informagao desde o momento de sua 
geragao em sua forma final, como uma mensagem eletronica ou de outra forma; e 

II - a informagao que seja acessivel a pessoa a qual ela deva ser apresentada. 
Paragrafo unico. Para os propositus do inciso II: 

I - presume-se Integra a informagao que permanega completa e inalterada, salvo a adigao de 
qualquer endosso das partes ou outra mudanga que ocorra no curso normal, da comunicagao, 
armazenamento e exposigao. 

II - o grau de confiabilidade requerido sera determinado a luz dos fins para os quais a informagao for 
gerada, assim como de todas as circunstancias do caso. 

Secao IV 

Da Exigencia de Conservacao das Mensagens Eletronicas 

Art. 9 s Se a lei determinar que certos documentos, registro ou informagoes sejam conservados, este 
requisito considerar-se-a preenchido mediante a conservagao de mensagens eletronicas, desde que: 

I - a informagao que elas contenham seja acessivel para consulta posterior; 

II - as mensagens eletronicas sejam conservadas no formato no qual tenham sido geradas, enviadas 
ou recebidas, ou num formato em que se possa demonstrar que representam exatamente as 
informagoes geradas, enviadas ou recebidas; e 

III - se conserve, quando for o caso, toda informagao que permita determinar a origem e o destino das 
mensagens e a data e hora em que foram enviadas ou recebidas. 

Paragrafo unico. A obrigagao de conservar documentos, registros ou informagoes de acordo com o 
disposto neste artigo nao se aplica aqueles dados que tenham por unica finalidade facilitar o envio ou 
o recebimento da mensagem. 

CAPITULO III 

DA COM U NIC AC AO DE MENSAGENS ELETRONICAS 

Secao I 

Da Alteracao mediante Acordo 

Art. 10 Nas relagoes entre as partes que geram, enviam, recebem, armazenam ou, de qualquer outro 
modo, processam mensagens eletronicas, as disposigoes deste capitulo poderao ser alteradas 
mediante comum acordo. 

Secao II 

Da Celebracao e Validade dos Contratos 

Art. 1 1 Na celebragao de urn contrato, a oferta e sua aceitagao podem ser expressas por mensagens 
eletronicas. 

Secao III 

Do Reconhecimento das Mensagens Eletronicas 

Art. 12 Nas relagoes entre o remetente e o destinatario, se reconhecera validade ou eficacia a uma 
declaragao de vontade ou a qualquer outra declaragao feita por meio de uma mensagem eletronica. 

Secao IV 

Da Proveniencia das Mensagens Eletronicas 

Art. 13 Nas relagoes entre o remetente e o destinatario, uma mensagem eletronica sera considerada 
proveniente do remetente quando ela for enviada. 

I - pelo proprio remetente; 

II - por uma pessoa autorizada a agir em nome do remetente; 

III - por urn sistema de informagao programado pelo remetente, ou em seu nome 
para operar automaticamente. 
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§ 1 s O destinatario tern ainda, direito a considerar uma mensagem eletronica como 
proveniente do remetente: 

I - quando aplicar corretamente urn procedimento previamente aceito pelo remetente 
para verificar sua procedencia; ou 

II - quando a mensagem recebida resultar dos atos de uma pessoa cujas relagoes 
com o remetente ou com seus agentes Ihe tenha dado acesso ao metodo usado pelo remetente para 
identificar as mensagens eletronicas dele procedentes. 

§ 2 s O disposto no §1 s nao se aplicara: 

I - a partir do momento em que o destinatario for informado pelo remetente de que a 
mensagem eletronica nao e de sua emissao; ou 

II - nos casos previstos no inciso II do § 1 s , desde o momento em que o destinatario 
saiba ou devesse saber, se agisse com a devida diligencia, que a mensagem eletronica nao procede 
do remetente, 

Art. 14. Presume-se que a mensagem eletronica recebida corresponde aquela que o remetente 
pretendeu enviar, salvo quando o destinatario saiba ou devesse saber, se agisse com a devida 
diligencia, ou empregasse o procedimento pactuado, que a transmissao causou algum erro na 
mensagem. 

Art. 15. Presume-se que cada mensagem eletronica recebida e uma mensagem distinta, salvo 
quando ela duplica uma outra e o destinatario saiba ou devesse saber, caso agisse com a devida 
diligencia ou empregasse o procedimento pactuado, que se trata de duplicidade. 

Secao V 
Do Aviso de Recebimento 

Art. 16. Os arts. 17, 18 e 19 aplicam-se quando, antes ou durante o envio de uma mensagem 
eletronica, ou por meio desta mensagem, o remetente solicite ou pactue com o destinatario que este 
informe o seu recebimento. 

Art. 17. Se o remetente nao pactuar com o destinatario que este informe o recebimento de uma 
mensagem de uma forma ou por urn metodo particular, podera ser informado o seu recebimento 
mediante qualquer comunicagao ou ato do destinatario que baste para esse proposito. 

Art. 18. Quando o remetente declarar que os efeitos da mensagem eletronica estao condicionados a 
recepgao de urn aviso de recebimento, a mensagem eletronica considerar-se-a como nao tendo sido 
enviada enquanto este nao for recebido. 

Art. 19. No caso de o remetente nao declarar que os efeitos da mensagem eletronica estao 
condicionados a recepgao de urn aviso de recebimento e tal aviso nao for recebido pelo remetente 
dentro do prazo estabelecido ou pactuado, inexistindo este, o remetente podera, em urn prazo 
razoavel: 

I - notificar o destinatario declarando que nenhum aviso de recebimento foi recebido e estipulando 
urn prazo adequando a efetivagao desta providencia; 

II - caso o aviso de recebimento nao seja recebido dentro do prazo a que se refere o inciso I, o 
remetente podera, notificando o destinatario, tratar a mensagem como se ela nunca tivesse sido 
enviada. 

Art. 20. A recepgao, pelo remetente, do aviso de recebimento enviado pelo destinatario gera a 
presungao de que aquele tenha recebido a mensagem eletronica pertinente. 

Paragrafo unico. A presungao a que se refere o caput nao implica que a mensagem eletronica 
corresponda a mensagem recebida. 

Art. 21. Quando o aviso de recebimento o declarar, presume-se que a mensagem eletronica cumpre 
os requisitos tecnicos pactuados, ou previstos nas normas tecnicas aplicaveis. 

Secao VI 

Do Tempo e Lugar de Despacho e Recebimento das Mensagens Eletronicas 
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Art. 22. O envio de uma mensagem eletronica ocorre quando esta entra em um sistema de 
informagao alheio ao controle do remetente ou da pessoa que a envia em seu nome. 

Art. 23. O momento de recepgao de uma mensagem eletronica e determinado: 

I - quando o destinatario designar um sistema de informagao para o proposito de recebimento das 
mensagens eletronicas: 

a) pelo momento em que a mensagem eletronica entrar no sistema de informacao 

designado; ou 

b) pelo momento em que a mensagem eletronica for recuperada pelo destinatario, no 
caso de ela ser enviada para um sistema de informagao do destinatario que nao seja o sistema de 
informagao designado; 

II - quando o destinatario nao designar um sistema de informagao, pelo momento em que a 
mensagem eletronica entrar no sistema de informagao do destinatario. 

Paragrafo unico. Aplica-se o disposto neste artigo ainda que o sistema de informagao esteja situado 
num lugar distinto daquele em que a mensagem eletronica se considere recebida de acordo com o 
disposto no art. 24. 

Art. 24. Uma mensagem eletronica se considera expedida e recebida nos locais onde o remetente e o 
destinatario tern seus estabelecimentos, respectivamente. 
Paragrafo unico. Para os fins do disposto neste artigo: 

I - se o remetente ou o destinatario tern mais de um estabelecimento, considera-se 
aquele que guarda relagao mais estreita com a transagao subjacente ou, inexistindo esta, o seu 
estabelecimento principal; 

II - se o remetente ou destinatario nao possui estabelecimento, considera-se para os 
fins deste artigo, o local de sua residencia habitual. 



CAPITULO IV 
DISPOSICOES FINAIS 

Art. 25. Esta Lei entra em vigor na data de sua publicagao. 

Art. 26. As disposigoes do Codigo Civil relativas a materia objeto desta Lei, aplicam-se 
subsidiariamente, no que nao contrariarem o que aqui se estatui. 
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MEDIDA PROVISORIA N° 2.200, DE 28 DE JUNHO DE 2001 

Autor: Poder Executivo 



Institui a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, e da outras providencias. 

O PRESIDENTE DA REPUBLICA, no uso da atribuigao que Ihe confere o art. 62 da Constituigao, 
adota a seguinte Medida Provisoria, com forga de lei: 

Art. 1 s . Fica instituida a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, para garantir a 
autenticidade, a integridade e a validade jundica de documentos em forma eletronica, das aplicagoes 
de suporte e das aplicagoes habilitadas que utilizem certificados digitais, bem como a realizagao de 
transagoes eletronicas seguras. 



Art. 2 s . A ICP-Brasil, cuja organizagao sera definida em regulamento, sera composta por uma 
autoridade gestora de politicas e pela cadeia de autoridades certificadoras composta pela Autoridade 
Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - 
AR. 



Art. 3 s . A fungao de autoridade gestora de politicas sera exercida pelo Comite Gestor da ICP-Brasil, 
vinculado a Casa Civil da Presidencia da Republica e composto por onze membros, sendo quatro 
representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente 
da Republica, e sete representantes dos seguintes orgaos, indicados por seus titulares: 

I - Casa Civil da Presidencia da Republica; 

II - Gabinete de Seguranca Institucional da Presidencia da Republica; 

III - Ministerio da Justiga; 

IV - Ministerio da Fazenda; 

V - Ministerio do Desenvolvimento, Industria e Comercio Exterior; 

VI - Ministerio do Planejamento, Orgamento e Gestao; 

VII - Ministerio da Ciencia e Tecnologia. 

§ 1 s A coordenagao do Comite Gestor da ICP-Brasil sera exercida pelo representante da Casa Civil 
da Presidencia da Republica. 

§ 2 s Os representantes da sociedade civil serao designados para periodos de dois anos, permitida a 
recondugao. 

§ 3 s A participagao no Comite Gestor da ICP-Brasil e de relevante interesse publico e nao sera 
remunerada. 

§ 4 s O Comite Gestor da ICP-Brasil tera uma Secretaria-Executiva, na forma do regulamento. 

Art. 4 s . O Comite Gestor da ICP-Brasil sera assessorado e recebera apoio tecnico do Centro de 
Pesquisa e Desenvolvimento para a Seguranga das Comunicagoes - CEPESC. 



Art. 5 s . Compete ao Comite Gestor da ICP-Brasil: 

I - adotar as medidas necessarias e coordenar a implantagao e o funcionamento da ICP-Brasil; 

II - estabelecer a politica, os criterios e as normas para licenciamento das AC, das AR e dos demais 
prestadores de servigos de suporte a ICP-Brasil, em todos os niveis da cadeia de certificagao; 

III - estabelecer a politica de certificagao e as regras operacionais da AC Raiz; 
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IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servigo; 

V - estabelecer diretrizes e normas para a formulagao de politicas de certificados e regras 
operacionais das AC e das AR e definir niveis da cadeia de certificagao; 

VI - aprovar politicas de certificados e regras operacionais, licenciar e autorizar o funcionamento das 
AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; 

VII - identificar e avaliar as politicas de ICP externas, quando for o caso, certificar sua compatibilidade 
com a ICP-Brasil, negociar e aprovar acordos de certificagao bilateral, de certificagao cruzada, regras 
de interoperabilidade e outras formas de cooperagao internacional; 

VIII - atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Brasil, 
garantir sua compatibilidade e promover a atualizagao tecnologica do sistema e a sua conformidade 
com as politicas de seguranga. 

Art. 6 s . A AC Raiz, primeira autoridade da cadeia de certificagao, executora das Politicas de 
Certificados e normas tecnicas e operacionais aprovadas pelo Comite Gestor da ICP-Brasil, compete 
emitir, manter e cancelar os certificados das AC de nivel imediatamente subsequent^ ao seu, 
gerenciar a lista de certificados emitidos, cancelados e vencidos, e executar atividades de fiscalizagao 
e auditoria das AC e das AR e dos prestadores de servigo habilitados na ICP, em conformidade com 
as diretrizes estabelecidas pelo Comite Gestor da ICP-Brasil. 

Paragrafo unico. E vedado a AC Raiz emitir certificados para o usuario final. 

Art. 7 s . O Instituto Nacional de Tecnologia da Informagao do Ministerio da Ciencia e Tecnologia e a 
AC Raiz da ICP-Brasil. 

Paragrafo unico. Para a consecugao de seus objetivos, o Instituto Nacional de Tecnologia da 
Informagao podera, na forma da lei, contratar servigos de terceiros. 

Art. 8 s . As AC, entidades autorizadas a emitir certificados digitais vinculando determinado codigo 
criptografico ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os 
certificados e as correspondentes chaves criptograficas, colocar a disposigao dos usuarios listas de 
certificados revogados e outras informagoes pertinentes e manter registro de suas operagoes. 

Art. 9 s . As AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e 
cadastrar usuarios, encaminhar solicitagoes de certificados as AC e manter registros de suas 
operagoes. 

Art. 10. Observados os criterios a serem estabelecidos pelo Comite Gestor da ICP-Brasil, poderao ser 
licenciados como AC e AR os orgaos e as entidades publicos e as pessoas juridicas de direito 
privado. 

Art. 1 1 . E vedada a certificagao de nivel diverso do imediatamente subsequent^ ao da autoridade 
certificadora, exceto nos casos de acordos de certificagao lateral ou cruzada previamente aprovados 
pelo Comite Gestor da ICP-Brasil. 

Art. 12. Consideram-se documentos publicos ou particulares, para todos os fins legais, os 
documentos eletronicos de que trata esta Medida Provisoria. 

Art. 13. A todos e assegurado o direito de se comunicar com os orgaos publicos por meio eletronico. 

Art. 14. A utilizagao de documento eletronico para fins tributarios atendera, ainda, ao disposto no art. 
100 da Lei n s 5.172, de 25 de outubro de 1966 - Codigo Tributario Nacional. 

Art. 15. Esta Medida Provisoria entra em vigor na data de sua publicagao. 
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DECRETO N° 3.865 DE 13 DE JULHO DE 2001 

(Revogado pelo DECRETO N° 4.176, DE 28 DE MARCO DE 2002) 
Autor: Poder Executivo 



Estabelece requisito para contratagao de servigos de certificagao digital pelos orgaos publicos 
federais, e da outras providencias. 

O PRESIDENTE DA REPUBLICA, no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, da 
Constituigao, 



DECRETA: 

Art. 1 e . Somente mediante previa autorizagao do Comite Executivo do Governo Eletronico, os orgaos 
da Administragao Publica Federal, direta e indireta, e as entidades a eles vinculadas poderao 
contratar, para uso proprio ou de terceiros, quaisquer servigos de certificagao digital de: 

I - documentos em forma eletronica; 

II - aplicagoes de suporte; e 

III - transagoes eletronicas. 

Paragrafo unico. O Comite Executivo do Governo Eletronico podera baixar normas complementares 
para cumprimento do disposto neste artigo e no art. 3 s do Decreto de 18 de outubro de 2000, que o 
instituiu no ambito do Conselho de Governo. 



Art. 2 s . Este Decreto entra em vigor na data de sua publicagao. 
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DECRETO N° 3.872 DE 18 DE JULHO DE 2001 

Dispoe sobre o Comite Gestor da Infra-Estrutura de Chaves Publicas Brasileira - CG ICP-Brasil, sua 
Secretaria-Executiva, sua Comissao Tecnica Executiva e da outras providencias. 

O PRESIDENTE DA REPUBLICA, no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, da 
Constituigao, e tendo em vista o disposto na Medida Provisoria no 2.200, de 28 de junho de 2001 , 

DECRETA: 

Art. 1o O Comite Gestor da Infra-Estrutura de Chaves Publicas Brasileira - CG ICP-Brasil, instituido 
pela Medida Provisoria no 2.200, de 28 de junho de 2001, exerce a fungao de autoridade gestora de 
politicas (AGP) da referida Infra-Estrutura. 

Art. 2o O CG ICP-Brasil, vinculado a Casa Civil da Presidencia da Republica, e composto por onze 
membros, sendo quatro representantes da sociedade civil, integrantes de setores interessados e sete 
representantes dos seguintes orgaos, todos designados pelo Presidente da Republica: 

I - Casa Civil da Presidencia da Republica, que o coordenara; 

II - Gabinete de Seguranga Institucional da Presidencia da Republica; 

III - Ministerio da Justiga; 

IV - Ministerio da Fazenda; 

V - Ministerio do Desenvolvimento, Industria e Comercio Exterior; 

VI - Ministerio do Planejamento, Orgamento e Gestao; e 

VII - Ministerio da Ciencia e Tecnologia. 

§ 1o Os representantes da sociedade civil serao designados para periodos de dois anos, 
permitida a recondugao. 

§ 2o A participagao no CG ICP-Brasil e de relevante interesse publico e nao sera remunerada. 

§ 3o O CG ICP-Brasil tera uma Secretaria-Executiva. 

§ 4o As decisoes do CG ICP-Brasil serao aprovadas pela maioria absoluta de seus membros. 

§ 5o Os membros do CG ICP-Brasil serao, em seus impedimentos, substituidos por suplentes 
designados na forma do caput. 

§ 6o Poderao ser convidados a participar das reunioes do CG ICP-Brasil, a juizo do seu 
Coordenador ou do proprio Comite, tecnicos e especialistas de areas afins. 

Art. 3o Compete ao CG ICP-Brasil: 

I - adotar as medidas necessarias e coordenar a implantagao e o funcionamento da Infra- 
Estrutura de Chaves Publicas Brasileira - ICP-Brasil; 

II - estabelecer a politica, os criterios e as normas para licenciamento das Autoridades 
Certificadoras - AC, das Autoridades de Registro - AR e dos demais prestadores de servigos de 
suporte a ICP-Brasil, em todos os niveis da cadeia de certificagao; 

III - estabelecer a politica de certificagao e as regras operacionais da Autoridade Certificadora 
Raiz - AC Raiz; 

IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servigo; 
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V - estabelecer diretrizes e normas para a formulagao de politicas de certificados e regras 
operacionais das AC e das AR e definir niveis da cadeia de certificagao; 

VI - aprovar politicas de certificados e regras operacionais, licenciar e autorizar o funcionamento 
das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; 

VII - identificar e avaliar as politicas de ICP externas, quando for o caso, certificar sua 
compatibilidade com a ICP-Brasil, negociar e aprovar, observados os tratados, acordos e atos 
internacionais, acordos de certificagao bilateral, de certificagao cruzada, regras de interoperabilidade 
e outras formas de cooperagao internacional; e 

VIII - atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Brasil, 
garantir sua compatibilidade e promover a atualizagao tecnologica do sistema e a sua conformidade 
com as politicas de seguranga. 

Art. 4 s O CG ICP-Brasil sera assistido e recebera suporte tecnico da Comissao Tecnica Executiva - 
COTEC, coordenada pelo Secretario-Executivo do Comite Gestor, e integrada por representantes 
indicados pelos membros do CG ICP-Brasil e designados pelo Chefe da Casa Civil da Presidencia da 
Republica. 

§ 1 s Serao convidados permanentes as reunioes da COTEC representantes: 

I - do Ministerio da Defesa; 

II - do Ministerio da Previdencia e Assistencia Social; 

III - do Ministerio da Saude; e 

IV - da Autoridade Certificadora Raiz - AC Raiz. 

§ 2o Poderao ser convidados a participar das reunioes da COTEC, a juizo do seu Coordenador 
ou da propria Comissao, representantes de outros orgaos e entidades publicos. 

§ 3 s Compete a COTEC: 

I - manifestar-se previamente sobre todas as materias a serem apreciadas e decididas pelo CG 
ICP-Brasil; 

II - preparar e encaminhar previamente aos membros do CG ICP-Brasil expediente contendo o 
posicionamento tecnico dos orgaos e das entidades relacionados com as materias que serao 
apreciadas e decididas; e 

III - cumprir outras atribuigoes que Ihe forem conferidas por delegagao do CG ICP-Brasil. 

§ 4 s Os membros da COTEC serao, em seus impedimentos, substituidos por suplentes 
designados na forma do caput. 

Art. 5 s O CG ICP-Brasil estabelecera a forma pela qual Ihe sera prestada assessoria pelo Centra de 
Pesquisa e Desenvolvimento para a Seguranga das Comunicagoes - CEPESC. 

Art. 6 s A Secretaria-Executiva do CG ICP-Brasil e chefiada por urn Secretario-Executivo e integrada 
por assessores especiais e por pessoal tecnico e administrativo. 

§ 1 s O Secretario-Executivo sera designado por livre escolha do Presidente da Republica. 

§ 2 s A Secretaria-Executiva recebera da Casa Civil da Presidencia da Republica o apoio 
necessario ao exercicio de suas fungoes, inclusive no que se refere aos cargos de assessoria e ao 
apoio tecnico e administrativo. 
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Art. 7 s Compete a Secretaria-Executiva do CG ICP-Brasil: 

I - prestar assistencia direta e imediata ao Coordenador do Comite Gestor; 

II - preparar as reunioes do Comite Gestor; 

III - coordenar e acompanhar a implementagao das deliberagoes e diretrizes fixadas pelo Comite 
Gestor; 

IV - coordenar os trabalhos da COTEC; e 

V - cumprir outras atribuigoes que Ihe forem conferidas por delegagao do Comite Gestor. 
Art. 80 Este Decreto entra em vigor na data de sua publicagao. 
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MEDIDA PROVISORIA N° 2.200-1 DE 27 DE JULHO DE 2001 

Autor: Poder Executivo 



Institui a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, e da outras providencias. 

O PRESIDENTE DA REPUBLICA, no uso da atribuigao que Ihe confere o art. 62 da Constituigao, 
adota a seguinte Medida Provisoria, com forga de lei: 

Art. 1 s . Fica instituida a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, para garantir a 
autenticidade, a integridade e a validade jundica de documentos em forma eletronica, das aplicagoes 
de suporte e das aplicagoes habilitadas que utilizem certificados digitais, bem como a realizagao de 
transagoes eletronicas seguras. 



Art. 2 s . A ICP-Brasil, cuja organizagao sera definida em regulamento, sera composta por uma 
autoridade gestora de politicas e pela cadeia de autoridades certificadoras composta pela Autoridade 
Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - 
AR. 



Art. 3 s . A fungao de autoridade gestora de politicas sera exercida pelo Comite Gestor da ICP-Brasil, 
vinculado a Casa Civil da Presidencia da Republica e composto por cinco representantes da 
sociedade civil, integrantes de setores interessados, designados pelo Presidente da Republica, e urn 
representante de cada urn dos seguintes orgaos, indicados por seus titulares: 

I - Ministerio da Justiga; 

II - Ministerio da Fazenda; 

III - Ministerio do Desenvolvimento, Industria e Comercio Exterior; 

IV - Ministerio do Planejamento, Orgamento e Gestao; 

V - Ministerio da Ciencia e Tecnologia; 

VI - Casa Civil da Presidencia da Republica; e 

VII - Gabinete de Seguranga Institucional da Presidencia da Republica. 

§ 1 s A coordenagao do Comite Gestor da ICP-Brasil sera exercida pelo representante da Casa Civil 
da Presidencia da Republica. 

§ 2 s Os representantes da sociedade civil serao designados para periodos de dois anos, permitida 
recondugao. 

§ 3 s A participagao no Comite Gestor da ICP-Brasil e de relevante interesse publico e nao sera 
remunerada. 

§ 4 s O Comite Gestor da ICP-Brasil tera uma Secretaria-Executiva, na forma do regulamento. 



Art. 4 s . O Comite Gestor da ICP-Brasil sera assessorado e recebera apoio tecnico do Centro de 
Pesquisa e Desenvolvimento para a Seguranga das Comunicagoes CEPESC. 



Art. 5 s . Compete ao Comite Gestor da ICP-Brasil: 

I - adotar as medidas necessarias e coordenar a implantagao e o funcionamento da ICP-Brasil; II - 
estabelecer a politica, os criterios e as normas tecnicas para licenciamento das AC, das AR e dos 
demais prestadores de servigo de suporte a ICP-Brasil, em todos os niveis da cadeia de certificagao; 

III - estabelecer a politica de certificagao e as regras operacionais da AC Raiz; 

IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servigo; 
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V - estabelecer diretrizes e normas tecnicas para a formulagao de politicas de certificados e regras 
operacionais das AC e das AR e definir niveis da cadeia de certificagao; 

VI - aprovar politicas de certificados e regras operacionais, licenciar e autorizar o funcionamento das 
AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; 

VII - identificar e avaliar as politicas de ICP externas, negociar e aprovar acordos de certificagao 
bilateral, de certificagao cruzada, regras de interoperabilidade e outras formas de cooperagao 
internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o 
disposto em tratados, acordos ou atos internacionais; e 

VIII atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Brasil, 
garantir sua compatibilidade e promover a atualizagao tecnologica do sistema e a sua conformidade 
com as politicas de seguranga. 

Art. 6 s . A AC Raiz, primeira autoridade da cadeia de certificagao, executora das Politicas de 
Certificados e normas tecnicas e operacionais aprovadas pelo Comite Gestor da ICP-Brasil, compete 
emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nivel imediatamente 
subsequent^ ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar 
atividades de fiscalizagao e auditoria das AC e das AR e dos prestadores de servigo habilitados na 
ICP, em conformidade com as diretrizes e normas tecnicas estabelecidas pelo Comite Gestor da ICP- 
Brasil. 

Paragrafo unico. E vedado a AC Raiz emitir certificados para o usuario final. 



Art. 7 s . O Instituto Nacional de Tecnologia da Informagao do Ministerio da Ciencia e Tecnologia e a 
AC Raiz da ICP-Brasil. 



Art. 8 s . As AC, entidades autorizadas a emitir certificados digitais vinculando pares de chaves 
criptograficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os 
certificados, bem como colocar a disposigao dos usuarios listas de certificados revogados e outras 
informagoes pertinentes e manter registro de suas operagoes. 

Paragrafo unico. O par de chaves criptograficas sera gerado sempre pelo proprio titular e sua chave 
privada de assinatura sera de seu exclusivo controle, uso e conhecimento. 

Art. 9 s . As AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e 
cadastrar usuarios na presenga destes, encaminhar solicitagoes de certificados as AC e manter 
registros de suas operagoes. 

Art. 10. Observados os criterios a serem estabelecidos pelo Comite Gestor da ICP-Brasil, poderao ser 
licenciados como AC e AR os orgaos e as entidades publicos e as pessoas juridicas de direito 
privado. 

Art. 11. E vedado a qualquer AC certificar nivel diverso do imediatamente subsequent^ ao seu, 
exceto nos casos de acordos de certificagao lateral ou cruzada, previamente aprovados pelo Comite 
Gestor da ICP-Brasil. 



Art. 12. Consideram-se documentos publicos ou particulares, para todos os fins legais, os 
documentos eletronicos de que trata esta Medida Provisoria. 

§ 1 s As declaragoes constantes dos documentos em forma eletronica produzidos com a utilizagao de 
processo de certificagao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relagao aos 
signatarios, na forma do art. 1 31 da Lei n s 3.071 , de 1 s de janeiro de 1 91 6 - Codigo Civil. 

§ 2 s O disposto nesta Medida Provisoria nao obsta a utilizagao de outro meio de comprovagao da 
autoria e integridade de documentos em forma eletronica, inclusive os que utilizem certificados nao 
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emitidos pela ICP-Brasil, desde que admitido pelas partes como valido ou aceito pela pessoa a quern 
for oposto o documento. 



Art. 13. A utilizacao de documento eletronico para fins tributarios atendera, ainda, ao disposto no art. 
100 da Lei n e 5.172, de 25 de outubro de 1966 - Codigo Tributario Nacional. 



Art. 14. Para a consecugao dos seus objetivos, o Instituto Nacional de Tecnologia da Informagao 
podera, na forma da lei, contratar servigos de terceiros. 

§ 1 s O Ministro de Estado da Ciencia e Tecnologia podera requisitar, para ter exercicio exclusivo no 
Instituto Nacional de Tecnologia da Informagao, por periodo nao superior a urn ano, servidores, civis 
ou militares, e empregados de orgaos e entidades integrantes da Administragao Publica Federal 
direta ou indireta, quaisquer que sejam as fungoes a serem exercidas. 

§ 2 s Aos requisitados nos termos deste artigo serao assegurados todos os direitos e vantagens a que 
fagam jus no orgao ou na entidade de origem, considerando-se o periodo de requisigao para todos os 
efeitos da vida funcional, como efetivo exercicio no cargo, posto, graduagao ou emprego que ocupe 
no orgao ou entidade de origem. 

§ 3 s Fica o Ministerio da Ciencia e Tecnologia autorizado a custear as despesas com remogao e 
estada para os servidores que, em virtude de nomeagao para cargos em comissao no Instituto 
Nacional de Tecnologia da Informagao, vierem a ter exercicio em cidade diferente da de seu 
domicilio, observados os limites de valores estabelecidos para a Administragao Publica Federal 
direta. 



Art. 15. Ficam convalidados os atos praticados com base na Medida Provisoria n e 2.200, de 28 de 
junho de 2001. 



Art. 1 6. Esta Medida Provisoria entra em vigor na data de sua publicagao. 
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MEDIDA PROVISORIA N° 2.200-2 DE 24 DE AGOSTO DE 2001 

Autor: Poder Executivo 



Institui a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de 
Tecnologia da Informagao em autarquia, e da outras providencias. 

O PRESIDENTE DA REPUBLICA , no uso da atribuigao que Ihe confere o art. 62 da Constituigao, 
adota a seguinte Medida Provisoria, com forga de lei: 



Art. 1 s . Fica instituida a Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, para garantir a 
autenticidade, a integridade e a validade jundica de documentos em forma eletronica, das aplicagoes 
de suporte e das aplicagoes habilitadas que utilizem certificados digitais, bem como a realizagao de 
transacoes eletronicas seguras. 



Art. 2 s . A ICP-Brasil, cuja organizagao sera definida em regulamento, sera composta por uma 
autoridade gestora de politicas e pela cadeia de autoridades certificadoras composta pela Autoridade 
Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - 
AR. 



Art. 3 s . A fungao de autoridade gestora de politicas sera exercida pelo Comite Gestor da ICP-Brasil, 
vinculado a Casa Civil da Presidencia da Republica e composto por cinco representantes da 
sociedade civil, integrantes de setores interessados, designados pelo Presidente da Republica, e urn 
representante de cada urn dos seguintes orgaos, indicados por seus titulares: 

I - Ministerio da Justiga; 

II - Ministerio da Fazenda; 

III - Ministerio do Desenvolvimento, Industria e Comercio Exterior; 

IV - Ministerio do Planejamento, Orgamento e Gestao; 

V - Ministerio da Ciencia e Tecnologia; 

VI - Casa Civil da Presidencia da Republica; e 

VII - Gabinete de Seguranga Institucional da Presidencia da Republica. 

§ 1 s A coordenagao do Comite Gestor da ICP-Brasil sera exercida pelo representante da Casa Civil 
da Presidencia da Republica. 

§ 2 s Os representantes da sociedade civil serao designados para periodos de dois anos, permitida a 
recondugao. 

§ 3 s A participagao no Comite Gestor da ICP-Brasil e de relevante interesse publico e nao sera 
remunerada. 

§ 4 s O Comite Gestor da ICP-Brasil tera uma Secretaria-Executiva, na forma do regulamento. 
Art. 4 s . Compete ao Comite Gestor da ICP-Brasil: 

I - adotar as medidas necessarias e coordenar a implantagao e o funcionamento da ICP-Brasil; 

II - estabelecer a politica, os criterios e as normas tecnicas para o credenciamento das AC, das AR e 
dos demais prestadores de servigo de suporte a ICP-Brasil, em todos os niveis da cadeia de 
certificagao; 

III - estabelecer a politica de certificagao e as regras operacionais da AC Raiz; 

IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servigo; 

V - estabelecer diretrizes e normas tecnicas para a formulagao de politicas de certificados e regras 
operacionais das AC e das AR e definir niveis da cadeia de certificagao; 
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VI - aprovar politicas de certificados, praticas de certificagao e regras operacionais, credenciar e 
autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondents 
certificado; 

VII - identificar e avaliar as politicas de ICP externas, negociar e aprovar acordos de certificagao 
bilateral, de certificagao cruzada, regras de interoperabilidade e outras formas de cooperagao 
internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o 
disposto em tratados, acordos ou atos internacionais; e 

VIII - atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Brasil, 
garantir sua compatibilidade e promover a atualizagao tecnologica do sistema e a sua conformidade 
com as politicas de seguranga. 

Paragrafo unico. O Comite Gestor podera delegar atribuigoes a AC Raiz. 

Art. 5 s . A AC Raiz, primeira autoridade da cadeia de certificagao, executora das Politicas de 
Certificados e normas tecnicas e operacionais aprovadas pelo Comite Gestor da ICP-Brasil, compete 
emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nivel imediatamente 
subsequente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar 
atividades de fiscalizagao e auditoria das AC e das AR e dos prestadores de servigo habilitados na 
ICP, em conformidade com as diretrizes e normas tecnicas estabelecidas pelo Comite Gestor da ICP- 
Brasil, e exercer outras atribuigoes que Ihe forem cometidas pela autoridade gestora de politicas. 

Paragrafo unico. E vedado a AC Raiz emitir certificados para o usuario final. 

Art. 6 s . As AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves 
criptograficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os 
certificados, bem como colocar a disposigao dos usuarios listas de certificados revogados e outras 
informagoes pertinentes e manter registro de suas operagoes. 

Paragrafo unico. O par de chaves criptograficas sera gerado sempre pelo proprio titular e sua chave 
privada de assinatura sera de seu exclusivo controle, uso e conhecimento. 

Art. 7 s . As AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e 
cadastrar usuarios na presenga destes, encaminhar solicitagoes de certificados as AC e manter 
registros de suas operagoes. 

Art. 8 s . Observados os criterios a serem estabelecidos pelo Comite Gestor da ICP-Brasil, poderao ser 
credenciados como AC e AR os orgaos e as entidades publicos e as pessoas juridicas de direito 
privado. 

Art. 9 s . E vedado a qualquer AC certificar nivel diverso do imediatamente subsequente ao seu, exceto 
nos casos de acordos de certificagao lateral ou cruzada, previamente aprovados pelo Comite Gestor 
da ICP-Brasil. 

Art. 10. Consideram-se documentos publicos ou particulares, para todos os fins legais, os 
documentos eletronicos de que trata esta Medida Provisoria. 

§ 1 s As declaragoes constantes dos documentos em forma eletronica produzidos com a utilizagao de 
processo de certificagao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relagao aos 
signatarios, na forma do art. 1 31 da Lei n s 3.071 , de 1 s de janeiro de 1 91 6 - Codigo Civil. 

§ 2 s O disposto nesta Medida Provisoria nao obsta a utilizagao de outro meio de comprovagao da 
autoria e integridade de documentos em forma eletronica, inclusive os que utilizem certificados nao 
emitidos pela ICP-Brasil, desde que admitido pelas partes como valido ou aceito pela pessoa a quern 
for oposto o documento. 
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Art. 1 1 . A utilizagao de documento eletronico para fins tributaries atendera, ainda, ao disposto no art. 
100 da Lei n s 5.172, de 25 de outubro de 1966 - Codigo Tributario Nacional. 

Art. 12. Fica transformado em autarquia federal, vinculada ao Ministerio da Ciencia e Tecnologia, o 
Instituto Nacional de Tecnologia da Informagao - ITI, com sede e foro no Distrito Federal. 

Art. 13. O ITI e a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Publicas Brasileira. 

Art. 14. No exercicio de suas atribuigoes, o ITI desempenhara atividade de fiscalizagao, podendo 
ainda aplicar sangoes e penalidades, na forma da lei. 

Art. 15. Integrarao a estrutura basica do ITI uma Presidencia, uma Diretoria de Tecnologia da 
Informagao, uma Diretoria de Infra-Estrutura de Chaves Publicas e uma Procuradoria-Geral. 

Paragrafo unico. A Diretoria de Tecnologia da Informagao podera ser estabelecida na cidade de 
Campinas, no Estado de Sao Paulo. 

Art. 16. Para a consecugao dos seus objetivos, o ITI podera, na forma da lei, contratar servigos de 
terceiros. 

§ 1 s O Diretor-Presidente do ITI podera requisitar, para ter exercicio exclusivo na Diretoria de Infra- 
Estrutura de Chaves Publicas, por periodo nao superior a urn ano, servidores, civis ou militares, e 
empregados de orgaos e entidades integrantes da Administragao Publica Federal direta ou indireta, 
quaisquer que sejam as fungoes a serem exercidas. 

§ 2 s Aos requisitados nos termos deste artigo serao assegurados todos os direitos e vantagens a que 
fagam jus no orgao ou na entidade de origem, considerando-se o periodo de requisigao para todos os 
efeitos da vida funcional, como efetivo exercicio no cargo, posto, graduagao ou emprego que ocupe 
no orgao ou na entidade de origem. 

Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI: 

I - os acervos tecnico e patrimonial, as obrigagoes e os direitos do Instituto Nacional de Tecnologia da 
Informagao do Ministerio da Ciencia e Tecnologia; 

II - remanejar, transpor, transferir, ou utilizar, as dotagoes orgamentarias aprovadas na Lei 
Orgamentaria de 2001, consignadas ao Ministerio da Ciencia e Tecnologia, referentes as atribuigoes 
do orgao ora transformado, mantida a mesma classificagao orgamentaria, expressa por categoria de 
programagao em seu menor nivel, observado o disposto no § 2 s do art. 3 s da Lei n e 9.995, de 25 de 
julho de 2000, assim como o respectivo detalhamento por esfera orgamentaria, grupos de despesa, 
fontes de recursos, modalidades de aplicagao e identificadores de uso. 

Art. 18. Enquanto nao for implantada a sua Procuradoria Geral, o ITI sera representado em juizo pela 
Advocacia Geral da Uniao. 

Art. 19. Ficam convalidados os atos praticados com base na Medida Provisoria n s 2.200-1, de 27 de 
julho de 2001. 

Art. 20. Esta Medida Provisoria entra em vigor na data de sua publicagao. 
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DECRETO N° 3.996 DE 31 DE OUTUBRO DE 2001 

Autor: Poder Executivo 

Dispoe sobre a prestagao de servigos de certificagao digital no ambito da Administragao Publica 
Federal. 

O VICE-PRESIDENTE DA REPUBLICA, no exercicio do cargo de Presidente da Republica, usando 
das atribuigoes que Ihe confere o art. 84, incisos II, IV e VI, alinea "a", da Constituigao, e tendo em 
vista o disposto na Medida Provisoria n e 2.200-2, de 24 de agosto de 2001 , 

DECRETA: 

Art. 1 s . A prestagao de servigos de certificagao digital no ambito da Administragao Publica Federal, 
direta e indireta, fica regulada por este Decreto. 

Art. 2 s . Somente mediante previa autorizagao do Comite Executivo do Governo Eletronico, os orgaos 
e as entidades da Administragao Publica Federal poderao prestar ou contratar servigos de 
certificagao digital. 

§ 1 s Os servigos de certificagao digital a serem prestados, credenciados ou contratados pelos orgaos 
e entidades integrantes da Administragao Publica Federal deverao ser providos no ambito da Infra- 
Estrutura de Chaves Publicas Brasileira - ICP-Brasil. 

§ 2 s Respeitado o disposto no § 1 s , o Comite Executivo do Governo Eletronico podera estabelecer 
padroes e requisitos administrativos para a instalagao de Autoridades Certificadoras - AC e de 
Autoridades de Registro AR proprias na esfera da Administragao Publica Federal. 

§ 3 s As AR de que trata o § 2 s serao, preferencialmente, os orgaos integrantes do Sistema de 
Administragao do Pessoal Civil - SIPEC. 

Art. 3 s . A tramitagao de documentos eletronicos para os quais seja necessaria ou exigida a utilizagao 
de certificados digitais somente se fara mediante certificagao disponibilizada por AC integrante da 
ICP-Brasil. 

Art. 4 s . Sera atribuida, na Administragao Publica Federal, aos diferentes tipos de certificados 
disponibilizados pela ICP-Brasil, a classificagao de informagoes segundo o estabelecido na legislagao 
especifica. 

Art. 5 s . Este Decreto entra em vigor na data de sua publicagao. 

Art. 6 s . Fica revogado o Decreto n e 3.587, de 5 de setembro de 2000. 

RETIFICAgAO - DECRETO N° 3.996, DE 31 DE OUTUBRO DE 2001 

(Publicado no Diario Oficial da Uniao de 5 de novembro de 2001 , Segao 1 , pagina 2) 
No art. 2: 

onde se le: "Somente mediante previa autorizagao do Comite Gestor do Governo Eletronico, ..." 
leia-se: "Somente mediante previa autorizagao do Comite Executivo do Governo Eletronico, .." 
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DECRETO N° 4.176 DE 28 DE MAR^O DE 2002 

Autor: Poder Executivo 

Revoga os decretos 2.954 e 3.585 

Estabelece normas e diretrizes para a elaboragao, a redagao, a alteragao, a consolidagao e o 
encaminhamento ao Presidente da Republica de projetos de atos normativos de competencia dos 
orgaos do Poder Executivo Federal, e da outras providencias. 

O PRESIDENTE DA REPUBLICA, no uso das atribuigoes que Ihe confere o art. 84, incisos IV e VI, 
alinea "a", da Constituigao, e tendo em vista o disposto na Lei Complementar n- 95, de 26 de 
fevereiro de 1998, 

DECRETA: 

Objeto e Ambito de Aplicagao 

Art. 1 2 Este Decreto estabelece normas e diretrizes para a elaboragao, a redagao, a alteragao e a 
consolidagao de atos normativos a serem encaminhados ao Presidente da Republica pelos 
Ministerios e orgaos da estrutura da Presidencia da Republica. 

Paragrafo unico. Consideram-se atos normativos para efeitos deste Decreto as leis, as medidas 
provisorias e os decretos. 



Capi'tulo II 

DO ENCAMINHAMENTO E DO EXAME DOS PROJETOS DE ATO NORMATIVO 

Encaminhamento de Projetos 

Art. 37. As propostas de projetos de ato normativo serao encaminhadas a Casa Civil por meio 
eletronico, com observancia do disposto no Anexo I, mediante exposigao de motivos do titular do 
orgao proponente, a qual se anexarao: 



OBS: O texto deste decreto e de volume razoavel e para tanto foram expostos somente os artigos 
relevantes ao tema do presente trabalho para fins de clareza e concisao. 
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PROJETO DE LEI DA CAMARA N° 6.965 DE 12 DE JUNHO DE 2002 

Autor: Dep. Jose Carlos Coutinho 

"Confere valor juridico a digitalizagao de documentos, e da outras providencias." 
O Congresso Nacional decreta: 

Art.1 2 Fica autorizado, em todo o territorio nacional, o armazenamento de informagoes, dados e 
imagens que constituem o acervo documental das empresas privadas e orgaos publicos federals, 
estaduais, municipals e do Distrito Federal, em sistemas eletronicos digitais que, uma vez gravados, 
garantam o nivel de seguranca exigido. 

Paragrafo unico - A utilizagao do sistema dependera de disciplinamento no respectivo regimento 
interno da instituigao publica ou sistematica de arquivamento da empresa privada, desde que ambos 
atendam ao decreto regulamentador especifico. 

Art.2 s As unidades da administragao publica e as empresas privadas que se utilizam do arquivamento 
digitalizado procederao ao controle desses mesmo documentos a conversao. 

§1 e O controle dos documentos digitalizados sera feito em livro, sistema de fichas, sistema eletronico, 
ou outros, da conveniencia da unidade administrativa ou da empresa, desde que permita sua rapida 
localizagao. 

§2 e Os documentos digitalizados utilizarao obrigatoriamente urn sistema de indexagao que permita 
sua rapida recuperagao. 

Art.3 s Terao valor juridico as copias em papel obtidas do sistema de armazenamento digitalizado, 
quando chancelados pelo orgao competente da repartigao publica ou empresa privada que as 
produziram. 

Art.4 e Ressalvados os termos codificados como segredo de justiga, e garantido a qualquer cidadao o 
direito de acesso as informagoes digitais armazenadas em orgaos publicos, delas podendo ser 
extraidas certidoes ou reproduzidos os documentos, a requerimento do interessado. 

Art.5 s Os originals dos documentos convertidos ao sistema digitalizado serao destruidos por meio de 
comprovada eficacia respeitando-se os prazos previstos para a prescrigao dos documentos 
mencionados nas tabelas oficiais de temporalidade definidas pelo Governo e pelo Conarc. 
Paragrafo unico - E permitida a destruigao dos documentos antes do prazo prescricional se o mesmo 
estiver contido em midia de valor legal como o microfilme. 

Art.6 s O Art. 365 da Lei n e 5.869, de 11 de Janeiro de 1973, fica acrescido do seguinte inciso: 
"Art. 365 

IV- Os documentos publicos reproduzidos a partir de arquivo digitalizado, desde que chancelados 
pelo orgao competente e pelo servidor designado para esse fim." 

Art.7 s Esta lei entra em vigor na data de sua publicagao. 

Art.8 s Revogam-se as disposigao em contrario. 
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PROJETO DE LEI DA CAMARA N.° 7.093 DE 6 DE AGOSTO DE 2002 

Autor: Dep. Ivan Paixao 

Esta lei dispoe sobre a correspondencia eletronica comercial, e da outras providencias. 

0 Congresso Nacional decreta: 

Art. 1 s Esta lei dispoe sobre a correspondencia eletronica comercial, proporciona aos receptores a 
escolha de parar de receber mensagens eletronicas comerciais e estabelece sangoes administrativas 
e penais aplicaveis. 

Art. 2 s Para os efeitos desta lei, considera-se: 

1 - mensagem eletronica comercial: qualquer mensagem eletronica enviada a urn receptor cujo 
proposito seja divulgar ou promover, por proposito comercial, produto ou servigo, incluindo conteudo 
de site da internet ou, ainda, a propagagao de correntes ou piramides; 

II - remetente: pessoa que inicia uma mensagem eletronica comercial; 

III - receptor: destinatario de uma mensagem eletronica comercial; 

IV - correntes ou piramides: correspondencia eletronica destinada a obtengao de recursos financeiros 
mediante incentivo para que o receptor reenvie a mensagem a outros usuarios da internet. 

V -computador protegido: aquele que e usado pelo cidadao comum, por instituigao financeira, pelo 
governo, ou aquele que e utilizado para fins comerciais; 

VI - enderego eletronico: destinagao, usualmente expressa por uma sequencia de caracteres, para 
qual correspondencia eletronica pode ser enviada; 

VII - informagao do cabegalho: fonte, destinagao e sinalizagao da rota da informagao anexada ao 
inicio de mensagem eletronica, incluindo o nome de dominio e enderego eletronico originarios. 

VIII - nome de dominio: qualquer designagao alfanumerica registrada ou atribuida por qualquer 
registrador, estabelecimento de nome de dominio ou outra autoridade de inscrigao de nome de 
dominio como parte de urn enderego eletronico na internet; 

IX - transmissao rotineira: transmissao, envio, transmissao em cadeia, manuseio ou armazenagem, 
atraves de processo tecnico automatico, de mensagem eletronica; 

§1 e A mensagem eletronica nao deve ser considerada puramente comercial por incluir referenda a 
uma entidade comercial que serve para identificar o remetente ou uma referenda ou link de site da 
internet operado com proposito comercial. 

§ 2 s Nao se enquadra na definigao de remetente a pessoa, inclusive urn provedor de acesso a 
internet, cujo o papel com respeito a mensagem seja limitado a transmissao rotineira da mensagem. 
§ 3 s Se o destinatario da mensagem eletronica comercial tiver urn ou mais enderegos eletronicos, 
alem daquele ao qual a mensagem for dirigida, sera tratado como receptor separado com respeito a 
cada urn desses enderegos. 

Art. 3 s Ha direito de liberdade de expressao na Internet. 

Art. 4 s A mensagem eletronica comercial nao pode conter informagao falsa, enganosa ou nao obtida 
legitimamente. 

Art. 5 s Para iniciar a transmissao de uma mensagem eletronica comercial a urn computador protegido, 
tal mensagem deve conter, de maneira clara e evidente, para o receptor: 

I - a identificagao de que a mensagem e uma propaganda ou solicitagao; 

II - o nome, enderego fisico, enderego eletronico e numero de telefone do remetente; 

III - aviso ao receptor sobre a oportunidade de recusa a receber mais mensagens eletronicas 
comerciais do remetente. 

§ 1 s O remetente de uma mensagem eletronica comercial nao solicitada deve manter urn enderego 
eletronico em funcionamento, atraves do qual o receptor possa manifestar a recusa de nao mais 
receber mensagens. 

§ 2 s O remetente, ou qualquer pessoa agindo em seu nome, tern o prazo de 24 horas do recebimento 
da recusa do receptor para encerrar a transmissao de correspondencia eletronica comercial. 

Art. 6 s Os provedores de servigos de Internet podem estabelecer uma politica sobre a entrada de 
correspondencia eletronica comercial nao solicitada em seus servidores. 
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Art. 1- A comercializagao de listas de enderegos eletronicos, compilagoes de informagoes e afins 
somente e permitida apos autorizagao previa dos usuarios da internet. 

Art. 8 s O Poder Publico designara uma autoridade, a quern cabera: 

I - a fiscalizagao e repressao ao envio indevido de mensagem eletronica comercial e a 
comercializagao de listas de enderegos eletronicos, compilagoes de informagoes e afins; 

II - disponibilizagao de um banco de dados para cadastrar os enderegos eletronicos de usuarios que 
nao desejam receber nenhum tipo de correspondencia eletronica comercial. 

Paragrafo unico Para enviar qualquer mensagem aos enderegos constantes do banco de dados do 
Poder Publico, o remetente devera ter recebido autorizagao previa do receptor. 

Art. 9 s As infragoes aos preceitos desta lei constituem crime e sujeitam os responsaveis a pena de 
reclusao, de um a quatro anos. 

Art. 10 As infragoes aos preceitos desta lei, independente das sangoes de natureza penal e 
reparagao de danos que causarem, sujeitam o infrator a pena de multa de cem a dez mil reais por 
mensagem enviada, acrescida de um tergo na reincidencia. 

Art. 11 Aplicam-se as normas de defesa e protegao do consumidor vigente no Pais, naquilo que nao 
conflitar com esta lei. 

Art. 12 Esta lei entra em vigor em cento e vinte dias, contados da data de sua publicagao. 
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DECRETO N° 4.414 DE 07 DE OUTUBRO DE 2002 

Autor: Poder Executivo 

Altera o Decreto n e 3.996, de 31 de outubro de 2001 , que dispoe sobre a prestagao de servigos de 
certificagao digital no ambito da Administragao Publica Federal. 

O PRESIDENTE DA REPUBLICA, no uso das atribuigoes que Ihe confere o art. 84, incisos II e VI, 
alinea "a", da Constituigao, 

D EC R ETA : 

Art. 1 s . O Decreto n e 3.996, de 31 de outubro de 2001 passa a vigorar acrescido do seguinte artigo: 

"Art. 3 S -A . As aplicagoes e demais programas utilizados no ambito da Administragao Publica Federal 
direta e indireta que admitirem o uso de certificado digital de um determinado tipo contemplado pela 
ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou com requisitos de seguranga mais 
rigorosos, emitido por qualquer AC integrante da ICP-Brasil. " (NR) 

Art. 2°. Este Decreto entra em vigor na data de sua publicacao. 
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PROJETO DE LEI DO EXECUTIVO N° 7.316 DE 7 DE NOVEMBRO DE 2002 

Autor: Poder Executivo 



Disciplina o uso de assinaturas eletronicas e a prestagao de servigos de certificagao. 

0 Congresso Nacional decreta: 

Art. 1 s O uso de assinaturas eletronicas e a prestagao de servigos de certificagao rege-se por esta 
Lei. 

Art. 2 s Para os fins desta Lei, entende-se por: 

1 - assinatura eletronica, o conjunto de dados sob forma eletronica, ligados ou logicamente 
associados a outros dados eletronicos, utilizado como meio de comprovagao de autoria; 

II - assinatura eletronica avangada, a assinatura eletronica que: 

a) esteja associada inequivocamente ao seu titular, permitindo a sua identificagao; 

b) seja produzida por dispositivo seguro de criagao de assinatura; 

c) esteja baseada em certificado qualificado valido a epoca de sua aposigao; e 

d) esteja vinculada ao documento eletronico a que diz respeito, de tal modo que qualquer Iteragao 
subsequent^ no conteudo desse seja plenamente detectavel; 

III - chave de criagao de assinatura, o conjunto unico de dados eletronicos, tal como chaves 
criptograficas privadas, utilizado pelo seu titular para a criagao de uma assinatura eletronica; 

IV - chave de verificagao de assinatura, o conjunto de dados eletronicos, tal como chaves 
criptograficas publicas, utilizado para verificar uma assinatura eletronica; 

V - dispositivo seguro de criagao de assinaturas, o dispositivo fisico (hardware) e logico (software) 
destinado a viabilizar o uso da chave de criagao de assinatura que, na forma do regulamento: 

a) assegure a confidencialidade dessa; 

b) inviabilize a dedugao dessa a partir de outros dados; 

c) permita ao legitimo titular dessa protege-la de modo eficaz contra o seu uso por terceiros; 

d) proteja a assinatura eletronica contra falsificagoes; e 

e) nao modifique o documento eletronico a ser assinado, nem impega a sua apresentagao ao titular 
antes do processo de assinatura; 

VI - certificado, o atestado eletronico que vincula uma chave de verificagao de assinatura a uma 
pessoa, identificando-a; 

VII - certificado qualificado, o certificado emitido por prestador de servigos de certificagao 
credenciado que contenha, ao menos: 

a) o seu numero de serie; 

b) o nome do seu titular e a sua respectiva chave de verificagao de assinatura; 

c) a identificagao e a assinatura eletronica avangada do prestador de servigos de certificagao que o 
emitiu; 

d) a data de inicio e de fim do prazo de validade do certificado; 

e) as restrigoes ao ambito de utilizagao do certificado, se for o caso; e 

f) outros elementos definidos em regulamento e nas normas complementares a esta Lei; 

VIII - prestador de servigos de certificagao, a pessoa juridica que emite certificados ou presta outros 
servigos relacionados com assinaturas eletronicas; 

IX - prestador de servigos de certificagao credenciado, o prestador de servigo de certificagao titular 
de certificado emitido na forma do art. 5o, § 1 o; 
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X - componentes de aplicagao de assinatura, os produtos fisicos (hardware) e logicos (software) que: 

a) vinculem ao documento eletronico processo de produgao ou verificagao de assinaturas eletronicas; 
ou 

b) verifiquem assinaturas eletronicas ou confiram certificados, disponibilizando os resultados; e 

XI - componentes tecnicos para servigos de certificagao, os produtos fisicos (hardware) e logicos 
(software) que: 

a) gerem chaves de assinatura, transferindo-as para um dispositivo seguro de criagao de assinatura; 
ou 

b) mantenham certificados disponiveis ao publico para verificagao e, caso necessario, obtengao por 
rede de computadores. 

Paragrafo unico. E condigao para emissao de certificados qualificados, a identificagao e o 
cadastramento de seu titular mediante a sua presenga fisica. 

Art. 3 s Observado o disposto nesta Lei, a prestagao de servigos de certificagao nao se sujeita a 
previa autorizagao pelo Poder Publico. 

Art. 4 s As assinaturas eletronicas avangadas tern o mesmo valor juridico e probante da assinatura 
manuscrita. 

§ 1 s As declaragoes constantes dos documentos em forma eletronica que contenham assinatura 
eletronica avangada presumem-se verdadeiras em relagao ao seu titular. 

§ 2 s Os atos que exijam forma especial, bem como aqueles sujeitos aos servigos de que trata a Lei 
no 8.935, de 18 de novembro de 1994, quando formalizados em meio eletronico, deverao ser, sob 
pena de nulidade, assinados mediante a aposigao de assinatura eletronica avangada. 
§ 3 s Nao serao negados efeitos juridicos a assinatura eletronica, nem sera excluida como meio de 
prova, em virtude de se apresentar em forma eletronica, de nao estar baseada num certificado 
qualificado ou de nao ter sido gerada atraves de dispositivo seguro de criagao de assinaturas, desde 
que admitida pelas partes como valida ou aceita pela pessoa a quern foi oposta. 

Art. 5 s Mediante requerimento a ser encaminhado a Autoridade Certificadora Raiz - AC Raiz da Infra- 
Estrutura de Chaves Publicas Brasileira - ICP-Brasil, o prestador de servigos de certificagao podera 
ser credenciado, desde que, na forma do regulamento: 

I - comprove o cumprimento das diretrizes e normas tecnicas, bem como das regras operacionais e 
praticas de certificagao editadas pelo Comite Gestor e pela AC Raiz da ICP-Brasil na forma da 
Medida Provisoria no 2.200-2, de 24 de agosto de 2001 ; 

II - mantenha contrato de seguro em vigor para cobertura total da responsabilidade civil decorrente 
da atividade de certificagao; 

III - disponha de profissionais que comprovadamente tenham o conhecimento, a experiencia e a 
qualificagao necessarios ao exercicio da atividade; 

IV - garanta a confidencialidade da chave de criagao de assinatura de modo que o seu uso, 
conhecimento e controle sejam exclusivos do seu titular; 

V - demonstre possuir mecanismos e procedimentos adequados a impedir a falsificagao ou 
deturpagao de certificados; 

VI - utilize sistema seguro de armazenamento de certificados de modo que: 

a) apenas as pessoas autorizadas possam introduzir-lhe dados e alteragoes; 

b) a autenticidade das informagoes possa ser verificada; e 

c) os certificados possam ser conferidos pelo publico apenas quando consentido pelo seu titular; 

VII - possua sistemas de protegao de dados adequados para impedir o uso indevido de informagoes 
e documentos fornecidos pelo titular para emissao do certificado; 
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VIII - suas instalagoes operacionais e seus recursos de seguranga fisica e logica sejam compativeis 
com a atividade de certificagao e estejam localizados no territorio nacional; 

IX - assegure que seus orgaos de registro realizam a identificagao e o cadastramento dos usuarios 
somente mediante a presenga fisica desses, bem como mantenham os documentos por eles 
fornecidos pelo penodo de tempo necessario; 

X - implemente praticas eficazes de informagao do usuario, inclusive sobre os efeitos jundicos 
produzidos pelo certificado emitido e as medidas necessarias para protegao e seguranga da chave de 
criagao de assinatura; 

XI - garanta o funcionamento de diretorio rapido e seguro e de servigo de revogagao de certificados 
seguro e imediato; 

XII - assegure com precisao a possibilidade de verificagao da data e hora de emissao ou revogagao 
de cada certificado; 

XIII - utilize componentes de aplicagao de assinatura e componentes tecnicos para servigos de 
certificagao que atendam os requisitos definidos nos arts. 12 e 13 desta Lei, e tenham sido 
previamente testados e aprovados; e 

XIV - utilize sistemas e produtos seguros que estejam protegidos contra modificagoes e garantam a 
seguranga tecnica e criptografica dos processos para os quais estejam previstos; 

§ 1 s O credenciamento importa necessariamente na emissao do certificado do prestador de servigos 
de certificagao pela AC Raiz da ICP-Brasil ou por prestadora de servigos de certificagao credenciada 
na forma deste artigo. 

§ 2- O credenciamento podera ser limitado no tempo e a determinados tipos de certificados. 

§ 3 s Somente os certificados contemplados pelo ato de credenciamento poderao constituir 

certificados qualificados, observado o disposto no art. 2o, VII, desta Lei. 

§ 4 s A inobservancia de qualquer dos requisitos previstos neste artigo implicara o cancelamento do 
ato de credenciamento e a imediata revogagao do respectivo certificado, sem prejuizo das demais 
sangoes cabiveis. 

Art. 6 s O disposto no art. 5o aplica-se, no que couber, ao credenciamento de provedores de servigos 
de certificagao de data e hora, bem como de outros servigos e aplicagoes de suporte. 

Art. 1- O credenciamento de urn prestador de servigos de certificagao importa na atribuigao do selo 
de qualidade da ICP-Brasil. 

§ 1 s E de uso exclusivo dos prestadores de servigos de certificagao certificados na forma do § 1o do 
art. 5o a designagao "Prestador de Servigos de Certificagao Credenciado". 

§ 2 s O certificado emitido por prestador de servigos de certificagao credenciado na forma do art. 5o 
contera a informagao de que e urn "certificado qualificado", sendo vedado o emprego dessa 
expressao para designar quaisquer outros certificados. 

§ 3 s Os certificados qualificados emitidos na forma desta Lei constituem documentos oficiais de 
identificagao em meio eletronico. 

§ 4 s As aplicagoes e demais programas que admitirem o uso de certificado digital de urn determinado 
tipo contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou com 
requisitos de seguranga mais rigorosos, emitido por qualquer prestador de servigo de certificagao 
credenciado na forma do art. 5o. 

Art. 8 s Os prestadores de servigos de certificagao informarao seus usuarios das medidas necessarias 
para a manutengao da seguranga de assinaturas eletronicas e sua verificagao de modo confiavel. 
§ 1 s Sera fornecido, na forma do caput, documento informativo ao usuario que confirmara que o leu e 
tomou ciencia de seu conteudo, por meio de termo formalizado em papel devidamente assinado. 
§ 2 s Os prestadores de servigos de certificagao informarao aos usuarios que uma assinatura 
eletronica avangada, nos termos desta Lei, produz os efeitos descritos no art. 4o. 
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§ 3 s O par de chaves de assinatura sera gerado sempre pelo proprio titular, e sua chave de criagao 
de assinatura sera de seu exclusivo controle, uso e conhecimento. 

Art. 9 s Deve o prestador de servigos de certificagao revogar um certificado: 

I - mediante solicitagao do seu titular ou representante constituido; 

II - caso o certificado tenha sido emitido com base em dados falsos; 

III - caso o prestador de servigos de certificagao tenha encerrado suas atividades sem que fossem 
prosseguidas por um outro prestador de servigos de certificagao; 

IV - por determinagao da AC Raiz da ICP-Brasil, caso o prestador de servigos de certificagao seja 
credenciado na forma do art. 5o; ou 

V - em outros casos definidos em regulamento e nas normas complementares a esta Lei. 

Art. 10. O prestador de servigo de certificagao responde: 

I - diretamente, pelos danos a que der causa; e 

II - solidariamente, pelos danos que derem causa os prestadores de servigos de certificagao por ele 
diretamente certificados, bem como os orgaos de registro e os prestadores de servigos de suporte a 
ele vinculados. 

Paragrafo unico. Se constar do certificado qualificado restrigoes ao uso da assinatura eletronica 
avangada, na forma do art. 2o, VII, "e", os danos causados sao indenizaveis dentro dos limites dessas 
restrigoes. 

Art. 11. A intengao do prestador de servigos de certificagao de encerrar suas atividades sera 
comunicada, com, no mmimo, dois meses de antecedencia, indicando o prestador que o sucedera ou 

0 momento em que serao revogados os certificados: 

1 - as pessoas a quern tenha emitido certificados que estejam em vigor; e 
II - a AC Raiz da ICP-Brasil, caso seja credenciado. 

§ 1o A comunicagao prevista no caput sera imediata, nas hipoteses de falencia ou liquidagao 
extrajudicial. 

§ 2 s O prestador de servigos de certificagao transferira, se for o caso, a documentagao relativa aos 
certificados digitais emitidos ao prestador que os tenha assumido. 

§ 3 s Caso os certificados qualificados nao tenham sido assumidos por outro prestador de servigos de 
certificagao credenciado, os documentos de que trata o paragrafo anterior serao repassados a AC 
Raiz da ICP-Brasil. 

Art. 12. A assinatura de documentos eletronicos, decorrente de certificados qualificados, exige 
componentes de aplicagao de assinatura que claramente indiquem a produgao de uma assinatura 
eletronica, e permita a identificagao do documento a que a assinatura se refere. 

Paragrafo unico. Para conferir o documento assinado, os componentes de aplicagao de assinatura, 
na forma do regulamento, devem demonstrar: 

I - a que documento a assinatura se refere; 

II - se o documento nao foi modificado; 

III - a que titular de certificado esta vinculado o documento; e 

IV - o conteudo do certificado em que esta baseada a assinatura. 

Art. 13. Os componentes tecnicos para servigos de certificagao conterao, na forma do regulamento, 
mecanismos que: 

I - assegurem que as chaves de criagao de assinatura produzidas e transferidas a dispositivo seguro 
de criagao de assinatura sejam unicas e sigilosas; e 
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II - protejam os certificados que estejam disponiveis para verificagao e obtengao na rede de 
alteragoes, copias ou obtengoes (download) nao autorizadas. 

Art. 14. Fica assegurado ao certificado emitido no exterior os mesmos efeitos do certificado de que 
trata o inciso VI do art. 2o. 

Paragrafo unico. Tratados, acordos ou atos internacionais poderao atribuir aos certificados emitidos 
no exterior os mesmos efeitos do certificado de que trata o inciso VII do art. 2o, observado o principio 
da reciprocidade. 

Art. 15. A infragao de qualquer dispositivo desta Lei sujeita o responsavel, sem prejuizo de outras 
sangoes, a multa variavel de cinquenta mil reais a urn milhao de reais, segundo o regulamento. 
§ 1 s Cabe a AC Raiz da ICP-Brasil executar a fiscalizagao e auditoria dos prestadores de servigos de 
certificagao credenciados, autua-los, aplicar as penalidades de advertencia, por escrito, e ainda as 
multas e medidas administrativas cabiveis, notificando os infratores e arrecadando as multas que 
aplicar. 

§ 2 s Regulamento dispora sobre: 

I - as medidas administrativas cabiveis, especialmente sobre revogagao compulsoria de certificados, 
cessagao e suspensao dos servigos de certificagao; e 

II - o poder de supervisao da AC Raiz da ICP-Brasil em relagao aos demais prestadores de servigos 
de certificagao, a ser exercido na forma deste artigo. 

§ 3 s Aplica-se, no que couber, a prestagao de servigos de certificagao a legislagao de defesa do 
consumidor. 

Art. 16. O Poder Executivo dispora, ainda, sobre o uso de certificados digitais na emissao de 
passaportes, de documentos de identidade, de carteiras de habilitagao de condutores de veiculos, de 
certificados de registros de veiculos e em outras aplicagoes, bem como sobre a emissao de 
certificados de atributos. 

Art. 17. As referencias normativas a Autoridades Certificadoras - AC passam a ser entendidas como 
prestadores de servigos de certificagao credenciados, exceto no caso da AC Raiz da ICP-Brasil. 
Art. 18. O disposto no § 2o do art. 4o nao dispensa a manutengao, em papel ou microfilme, dos livros 
de registros publicos ou das fichas que os substituam, na forma da legislagao vigente, em especial do 
art. 22 da Lei no 6.015, de 31 de dezembro de 1973. 

Art. 19. Ficam mantidas as competencias do Comite Gestor da ICP-Brasil e da AC Raiz da ICP- 
Brasil, na forma da Medida Provisoria no 2.200-2, de 24 de agosto de 2001, salvo disposigao 
regulamentar em contrario. 

Paragrafo unico. Os certificados emitidos ate a edigao desta Lei permanecem validos, na forma da 
Medida Provisoria no 2.200-2, de 24 de agosto de 2001 . 

Art. 20. Esta Lei entra em vigor na data de sua publicagao. 
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SUBSTITUTIVO AO PROJETO DE LEI N° 7.316 DE 7 DE NOVEMBRO DE 2002 

(Consolidado e atualizado com todas as emendas aprovadas deste projeto, nos termos do 
Substitutive da CCTCI, com subemendas; e das Emendas apresentadas nesta Comissao de n s s 1, 
com subemenda; 2, com subemenda; e 3 a 12) 

Autor: Poder Executivo 

Dispoe sobre o uso de assinaturas eletronicas e certificados digitais, a Infra-Estrutura de Chaves 
Publicas Brasileira - ICP-Brasil, a prestagao de servigos de certificagao e da outras providencias. 



0 CONGRESSO NACIONAL decreta: 

TITULO I - DAS ASSINATURAS ELETRONICAS E DOS CERTIFICADOS DIGITAIS 

CAPITULO I - DAS DISPOSICOES GERAIS 

Art. 1 s Esta lei estabelece normas sobre o uso de assinaturas eletronicas e certificados digitais, a 
Infra-Estrutura de Chaves Publicas Brasileira - ICP-Brasil, a prestagao de servigos de certificagao e 
da outras providencias. 

Art. 2 s Para os fins desta Lei, entende-se por: 

1 - documento eletronico, uma sequencia de bits elaborada mediante processamento eletronico de 
dados, destinada a reproduzir uma manifestagao do pensamento ou urn fato; 

II - assinatura eletronica, o conjunto de dados sob forma eletronica, ligados ou logicamente 
associados a outros dados eletronicos, utilizado como metodo de comprovagao da autoria; 

III - assinatura eletronica avangada, a assinatura eletronica que: 

a) esteja associada inequivocamente a urn par de chaves criptograficas que permita identificar o 
signatario; 

b) seja produzida por dispositivo seguro de criagao de assinatura; 

c) esteja vinculada ao documento eletronico a que diz respeito, de tal modo que qualquer alteragao 
subsequent^ neste seja plenamente detectavel; e 

d) esteja baseada em urn certificado qualificado e valido a epoca da sua aposigao; 

IV - chave de criagao de assinatura, o conjunto unico de dados eletronicos, tal como chaves 
criptograficas privadas, utilizado para a criagao de uma assinatura eletronica; 

V - chave de verificagao de assinatura, o conjunto de dados eletronicos, tal como chaves 
criptograficas publicas, utilizado para a verificagao de uma assinatura eletronica; 

VI - dispositivo seguro de criagao de assinaturas, o dispositivo fisico (hardware) e logico (software) 
destinado a viabilizar o uso da chave de criagao de assinatura que, na forma do regulamento: 

a) assegure a confidencialidade desta; 

b) inviabilize a dedugao desta a partir de outros dados; 

c) permita ao titular ou responsavel pelo uso do certificado proteger a chave de criagao de assinatura, 
de modo eficaz contra o seu uso por terceiros; 

d) proteja a assinatura eletronica contra falsificagoes; e 

e) nao modifique o documento eletronico a ser assinado; 

VII - certificado, o documento eletronico que vincula uma chave de verificagao de assinatura a uma 
pessoa, identificando-a; 

VIII - certificado qualificado, o certificado emitido por prestador de servigos de certificagao 
credenciado pela ICP-Brasil, que contenha, ao menos: 

a) o seu numero de serie; 

b) o nome do seu titular e, em se tratando de pessoa juridica, o nome do responsavel pelo seu uso, e 
a sua respectiva chave de verificagao de assinatura; 

c) a identificagao e a assinatura eletronica avangada do prestador de servigos de certificagao 
credenciado que o emitiu; 

d) a data de inicio e de fim de seu prazo de validade; 

e) as restrigoes ao ambito de sua utilizagao, se for o caso; 

f) as restrigoes ao valor das transagoes nas quais pode ser utilizado, se for o caso; 

g) outros elementos definidos nas normas complementares a esta Lei; 
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IX - prestador de servigos de certificagao, a pessoa juridica que emite certificados e presta outros 
servigos relacionados com assinaturas eletronicas; 

X - prestador de servigos de certificagao credenciado, o prestador de servigo de certificagao 
autorizado a emitir certificados no ambito da ICP-Brasil; 

XI - prestador de servigo de carimbo de tempo, a pessoa juridica que atesta a data e a hora da 
assinatura, expedigao ou recepgao de urn documento eletronico e presta outros servigos relacionados 
com datagao; 

XII - prestador de servigo de carimbo de tempo credenciado, o prestador de servigo de carimbo de 
tempo autorizado a prestar o servigo de datagao no ambito da ICP-Brasil; 

XIII - orgao de registro, orgao operacionalmente vinculado a urn prestador de servigo de certificagao, 
que processa as solicitagoes de emissao e de revogagao de certificados qualificados, valida a 
identidade dos usuarios, e desempenha outras atividades correlatas; 

XIV - orgao de registro credenciado, o orgao de registro autorizado a desempenhar suas atividades 
no ambito da ICP-Brasil; 

XV - prestador de servigo de suporte, a pessoa natural ou juridica que disponibiliza recursos 
humanos especializados e/ou infra-estrutura fisica e logica a urn prestador de servigo de certificagao 
ou a urn orgao de registro; 

XVI - prestador de servigo de suporte credenciado, o prestador de servigo de suporte autorizado a 
funcionar no ambito da ICP-Brasil; 

XVII - componentes de aplicagao de assinatura, os produtos fisicos (hardware) e logicos (software) 
que: 

a) vinculem ao documento eletronico processo de produgao e verificagao de assinaturas eletronicas; 
ou 

b) verifiquem assinaturas eletronicas e confiram certificados, disponibilizando os resultados; 

XVIII - componentes tecnicos para servigos de certificagao, os produtos fisicos (hardware) e logicos 
(software) que: 

a) gerem chaves de assinatura, transferindo-as para urn dispositivo seguro de criagao de assinatura; 
ou 

b) mantenham certificados disponiveis ao publico para verificagao por rede de computadores. 

Paragrafo unico. Equiparam-se a pessoa juridica, para os fins do inciso IX, 
os que exergam os servigos notariais e de registro por delegagao do poder publico, nos termos do art. 
236 da Constituigao Federal. 

CAPITULO II - DAS ASSINATURAS E DOS DOCUMENTOS ELETRONICOS 

Art. 3 s A aposigao de uma assinatura eletronica deve referir-se inequivocamente a uma pessoa 
natural ou juridica e ao documento eletronico ao qual e aposta. 

Art. 4 s A assinatura eletronica sera reconhecida quando aposta durante o prazo de validade do 
certificado em que esta baseada e respeitadas as restrigoes indicadas neste. 

Paragrafo unico. A assinatura eletronica aposta apos a revogagao do certificado em que esta 
baseada ou que nao respeite as restrigoes indicadas neste equivale a ausencia de assinatura. 
Art. 5 s As assinaturas eletronicas avangadas tern o mesmo valor juridico e probante das assinaturas 
manuscritas, na forma do art. 21 9 da Lei n s 1 0.406, de 1 0 de janeiro de 2002 - Codigo Civil. 

Art. 6 s Nao serao negados efeitos juridicos ao documento eletronico, desde que admitido como 
valido pelas partes ou aceito pela pessoa a quern seja oposto, pelo simples fato de sua assinatura 
eletronica nao ter sido gerada com base em certificado qualificado ou dispositivo seguro de criagao 
de assinaturas. 

Paragrafo Unico - Nos casos em que importem transferencia de dommio imobiliario ou envolvam 
interesse de incapazes, para oponibilidade dos efeitos juridicos perante terceiros, o documento 
eletronico devera atender as exigencias da legislagao civil, processual e de registros publicos em 
vigor. 

Art. 1- Os orgaos do Poder Judiciario poderao utilizar meio eletronico para publicagao de seus atos 
processuais. 

Paragrafo unico. A contagem dos prazos processuais tera inicio na data da publicagao realizada na 
forma deste artigo. 
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CAPITULO III - DOS CERTIFICADOS DIGITAIS 



Art. 8 s O certificado qualificado sera emitido a um titular, pessoa natural ou juridica. 

§ 1 s Sendo titular uma pessoa juridica, esta designara uma pessoa natural como responsavel pelo 

uso do certificado. 

§ 2 s O titular ou o responsavel pelo uso do certificado gerara o par de chaves criptograficas e 
respondera pela guarda e pelo uso exclusivo da chave de criagao de assinatura. 
§3 S O titular de certificado ou o responsavel pelo seu uso deve comunicar ao prestador de servigos de 
certificagao ou ao orgao de registro a ele vinculado qualquer violagao da confidencialidade de sua 
chave de criagao de assinatura ou de sua midia armazenadora, solicitando a revogagao do 
correspondente certificado." 

§4 S Os dados constantes do certificado sao publicos e disponiveis a qualquer interessado. 

Art. 9 s O certificado qualificado sera revogado: 

I - por solicitagao do titular ou do responsavel pelo uso; 

II - caso seja comunicada a violagao da confidencialidade da chave de criagao de assinatura ou da 
sua midia armazenadora; 

III - caso constatada emissao impropria ou defeituosa do mesmo; 

IV - caso tenha sido emitido com base em dados falsos; 

V - caso seja constatada a inexatidao ou desatualizagao de qualquer dos dados nele constante; 

VI - por determinagao judicial; 

VII - em outros casos definidos pelo Comite Gestor. 

§ 1 s A decisao de revogagao do certificado qualificado com fundamento nos incisos III a VI sera 
sempre motivada pelo prestador de servigo de certificagao credenciado e comunicada ao titular e ao 
responsavel pelo uso. 

§ 2 s Os certificados revogados na forma dos incisos e aqueles que perderam sua validade pelo 
termino de seu prazo deverao ser publicados imediatamente na lista de certificados revogados pelo 
prestador de servigo de certificagao que os emitiu. 

Art. 10 s As aplicagoes e os demais programas que admitirem o uso de certificado qualificado de um 
determinado tipo devem aceitar qualquer certificado qualificado de mesmo tipo ou com requisitos de 
seguranga mais rigorosos. 

Art. 1 1 . Tratados, acordos ou atos internacionais poderao atribuir aos certificados emitidos no exterior 
os mesmos efeitos do certificado de que trata o inciso VIII, do art. 2°, observado o principio da 
reciprocidade e obedecida a legislagao brasileira, em materia de registros publicos. 
Paragrafo unico. Tratados, acordos ou atos internacionais poderao atribuir aos certificados emitidos 
no exterior os mesmos efeitos do certificado de que trata o inciso VIII, do art. 2 s , observado o principio 
da reciprocidade. 

TITULO II - DA INFRA-ESTRUTURA DE CHAVES PUBLICAS BRASILEIRA 

CAPITULO I - DAS DISPOSICOES GERAIS 

Art. 12. A certificagao digital realizada no ambito da ICP-Brasil se sujeitara aos preceitos desta Lei e 
ao que dispuser, ainda, o seu Comite Gestor. 

Art. 13. A ICP-Brasil tern como objetivo garantir a autenticidade, a integridade e validade juridica das 
assinaturas em forma eletronica, para a seguranga das transagoes eletronicas, aplicagoes de suporte 
e aplicagoes habilitadas que utilizem certificados qualificados. 

Art. 14. A ICP-Brasil e composta por uma Autoridade Gestora de Politicas - Comite Gestor, por uma 
Autoridade Certificadora Raiz - AC Raiz e, ainda, pelas seguintes entidades credenciadas: 

I - prestadores de servigo de certificagao; 

II - orgaos de registro; 

III - prestadores de servigo de suporte; e 

IV - prestadores de servigo de carimbo de tempo. 
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CAPITULO II - DO COMITE GESTOR 



Art. 1 5 Compete ao Comite Gestor da ICP-Brasil: 

I - coordenar o funcionamento da ICP-Brasil; 

II - estabelecer a politica, os criterios e as normas tecnicas para o credenciamento dos prestadores 
de servigo de certificagao, orgaos de registro, prestadores de servigo de suporte e prestadores de 
servigo de carimbo de tempo, em todos os niveis da cadeia de certificagao; 

III - estabelecer a politica de certificagao e as regras operacionais da AC Raiz; 

IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servigo de suporte; 

V - estabelecer diretrizes e normas tecnicas para a formulagao de politicas de certificado e regras 
operacionais dos prestadores de servigo de certificagao, orgaos de registro, prestadores de servigo 
de suporte e prestadores de servigo de carimbo de tempo credenciados na ICP-Brasil; 

VI - identificar e avaliar as politicas de infra-estruturas de certificagao externas, negociar acordos de 
certificagao bilateral, de certificagao cruzada, regras de interoperabilidade e outras formas de 
cooperagao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, 
observado o disposto em tratados, acordos ou atos internacionais e a legislagao brasileira em materia 
de registros publicos; 

VII -dispor sobre os tipos de certificados no ambito da ICP-Brasil; e 

VIII - atualizar, ajustar e revisar os procedimentos e as praticas estabelecidas para a ICP-Brasil, 
garantir sua compatibilidade e promover a atualizagao tecnologica do sistema e a sua conformidade 
com as politicas de seguranga. 

Art. 1 6 O Comite Gestor da ICP-Brasil sera integrado por: 

I - sete representantes do Poder Executivo; 

II - urn representante do Senado Federal; 

III - urn representante da Camara dos Deputados; 

IV - cinco representantes do Poder Judiciario,sendo: 

a) urn representante do Supremo Tribunal Federal; 

b) urn representante do Superior Tribunal de Justiga; 

c) urn representante do Tribunal Superior do Trabalho; 

d) urn representante do Tribunal Superior Eleitoral; 

e) urn representante do Superior Tribunal Militar". 
V- urn representante do Ministerio Publico Federal; e 
VI - dezesseis representantes da sociedade civil. 

§1 S A coordenagao do comite competira ao Poder Executivo. 

§2 e Os representantes da sociedade civil serao designados, na forma do regulamento, para periodos 
de dois anos, permitida a recondugao. 

§3 S A participagao no comite e de relevante interesse publico e nao sera remunerada. 

§4 S O Comite Gestor da ICP-Brasil tera uma Secretaria-Executiva, na forma do regulamento. 

CAPITULO III - DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMACAO 

Art. 17. O Instituto Nacional de Tecnologia da Informagao - ITI, autarquia federal vinculada a Casa 
Civil da Presidencia da Republica, e a Autoridade Certificadora Raiz da ICPBrasil. 

Art. 18. Ao ITI compete: 

I - executar as politicas de certificagao e as normas tecnicas e operacionais aprovadas pelo Comite 
Gestor da ICP-Brasil; 

II - propor a revisao e a atualizagao das normas tecnicas e operacionais aprovadas pelo Comite 
Gestor da ICP-Brasil; 

III - credenciar e autorizar o funcionamento dos prestadores de servigo de certificagao, orgaos de 
registro, prestadores de servigo de suporte e prestadores de servigo de carimbo de tempo na ICP- 
Brasil; 

IV - aprovar politicas de certificado, praticas de certificagao e regras operacionais dos prestadores de 
servigo de certificagao, orgaos de registro, prestadores de servigo de suporte e prestadores de 
servigo de carimbo de tempo credenciados na ICP-Brasil; 
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V - gerenciar os certificados dos prestadores de servigo de certificagao de nivel imediatamente 
subsequente ao seu, incluindo emissao, expedigao, distribuigao e revogagao desses documentos 
eletronicos; 

VI - gerenciar a sua lista de certificados revogados; 

VII - executar as atividades de fiscalizagao e de auditoria dos prestadores de servigo de certificagao, 
orgaos de registro, prestadores de servigo de suporte e prestadores de servigo de carimbo de tempo 
credenciados na ICP-Brasil, em conformidade com as diretrizes e normas tecnicas estabelecidas pelo 
Comite Gestor; 

VIII - aplicar sangoes e penalidades na forma da Lei; 

IX - promover o relacionamento com instituigoes congeneres no Pais e no exterior; 

X - celebrar e acompanhar a execugao de convenios e acordos internacionais de cooperagao, no 
campo das atividades de infra-estrutura de chaves publicas e areas afins; 

XI - estimular a participagao de universidades, instituigoes de ensino e iniciativa privada em pesquisa 
e desenvolvimento, nas atividades de interesse da area da 

seguranga da informagao e da infra-estrutura de chaves publicas; 

XII - desenvolver e disseminar solugoes em software aberto e livre na Administragao Publica Federal; 

XIII - implementar solugoes para a defesa da privacidade e seguranga nos programas de inclusao 
digital; 

XIV - executar outras atribuigoes que Ihe forem cometidas pelo Comite Gestor da ICP-Brasil. 
§ 1 s A AC Raiz nao emite certificados para o usuario final. 

§ 2 s O Comite Gestor podera delegar atribuigoes a AC Raiz, salvo aquelas referentes a edigao de 
atos de carater normativo e aquelas que, pela sua propria natureza, so possam ser por ele 
implementadas." 

CAPITULO IV - DAS ENTIDADES CREDENCIADAS NA ICP-BRASIL 



Art. 19. Aos prestadores de servigo de certificagao, entidades credenciadas a emitir certificados 
digitais vinculando pares de chaves criptograficas ao respectivo titular, compete emitir, expedir, 
distribuir, revogar e gerenciar os certificados; manter registros de suas operagoes; bem como colocar 
a disposigao dos usuarios listas de certificados revogados e outras informagoes pertinentes. 
Paragrafo unico. E vedado a qualquer prestador de servigo de certificagao credenciado certificar nivel 
diverso do imediatamente subsequente ao seu, exceto nos casos de acordos de certificagao lateral 
ou cruzada, previamente aprovados pelo Comite Gestor da ICP-Brasil. 

Art. 20. Aos orgaos de registro, entidades credenciadas e vinculadas a urn prestador de servigo de 
certificagao, compete processar as solicitagoes de emissao de certificados, validar a identidade do 
titular e do responsavel pelo uso do certificado, bem como desempenhar outras atividades correlatas. 

Art. 21 . Aos prestadores de servigo de suporte, entidades credenciadas e vinculadas a urn prestador 
de servigo de certificagao ou a urn orgao de registro compete, dentre outras atividades correlatas, 
disponibilizar recursos humanos especializados e/ou infra-estrutura fisica e logica. 

Art. 22. Aos prestadores de servigo de carimbo de tempo, entidades credenciadas a prestar o servigo 
de datagao no ambito da ICP-Brasil compete atestar a data e a hora da assinatura, expedigao ou 
recepgao de urn documento eletronico. 

§ 1 2 A hora a ser utilizada pelos prestadores de servigo de carimbo de tempo credenciados na ICP- 
Brasil sera a oficial fornecida pela Observatorio Nacional. 

§ 2 s Os sinais primarios para sincronizagao de frequencia e tempo serao distribuidos pelo 
Observatorio Nacional. 

TITULO III - DA PRESTACAO DE SERVICOS DE CERTIFICACAO NO AMBITO DA ICP-BRASIL 

CAPITULO I - DO CREDENCIAMENTO 

Art. 23. A prestagao de servigo de certificagao fora do ambito da ICP-Brasil nao se sujeita a previa 
autorizagao do Poder Publico, sendo facultativa a solicitagao de credenciamento. 
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Art. 24. O processo de credenciamento dos prestadores de servigo de certificagao, orgaos de registro, 
prestadores de servigo de suporte e provedores de servigo de certificagao de data e hora sera 
disciplinado pelo Comite Gestor, alem das regras descritas nesta Lei. 

Art. 25. O prestador de servigo de certificagao podera ser credenciado, mediante requerimento a ser 
encaminhado a AC Raiz, desde que: 

I - comprove o cumprimento das diretrizes e normas tecnicas, bem como das regras operacionais e 
praticas de certificagao editadas pelo Comite Gestor e pela AC Raiz da ICP-Brasil; 

II - mantenha contrato de seguro em vigor, celebrado no Brasil, para cobertura da responsabilidade 
civil decorrente da atividade de certificagao digital e de registro, em conformidade as normas 
complementares a esta Lei; 

III - disponha de profissionais que comprovadamente tenham o conhecimento, a experiencia e a 
qualificagao necessarios ao exercicio da atividade; 

IV - garanta que o par de chaves criptograficas seja gerado sempre pelo titular ou pelo responsavel 
pelo uso do certificado, e que seja mantida a confidencialidade da chave de criagao de assinatura; 

V - demonstre possuir mecanismos e procedimentos adequados a impedir a falsificagao ou 
deturpagao de certificados; 

VI - utilize sistema seguro de armazenamento de certificados, de modo que, pelo menos: 

a) a autenticidade das informagoes possa ser verificada; 

b) quaisquer alteragoes de carater tecnico suscetiveis de prejudicar esses requisitos de seguranga 
sejam imediatamente detectaveis pelo operador; 

VII - possua sistemas de protegao de dados adequados para impedir o uso indevido das informagoes 
e dos documentos fornecidos pelos titulares e pelos responsaveis pelo uso de certificados; 

VIII - suas instalagoes operacionais e seus recursos de seguranga fisica e logica estejam localizados 
no territorio nacional; 

IX - assegure que o orgao de registro operacionalmente vinculado ao mesmo realize a identificagao e 
o cadastramento dos titulares e dos responsaveis pelo uso de certificados somente mediante a 
presenga fisica desses, bem como mantenham os documentos por eles fornecidos pelo periodo de 
tempo disposto nas normas complementares a esta Lei; 

X - implemente praticas eficazes de informagao do usuario, inclusive sobre os efeitos jundicos 
produzidos pelo certificado emitido e as medidas necessarias para protegao e seguranga da chave de 
criagao de assinatura; 

XI - garanta o funcionamento de diretorio rapido e seguro e de servigo de revogagao de certificados 
seguro e imediato; 

XII - assegure com precisao a possibilidade de verificagao da data e hora de emissao ou revogagao 
de cada certificado, utilizando a hora oficial fornecida pelo Observatorio Nacional; 

XIII - utilize componentes de aplicagao de assinatura e componentes tecnicos para servigos de 
certificagao que atendam os requisitos definidos nos arts. 30 e 31 desta Lei; 

XIV - adote sistemas e produtos seguros que estejam protegidos contra modificagoes e garantam a 
seguranga tecnica e criptografica dos processos utilizados; 

XV - armazene as chaves de verificagao de assinaturas dos certificados por ele emitidos pelo prazo 
minimo de 30 (trinta) anos, a contar da data da revogagao ou da expiragao dos mesmos, para 
verificagao de assinaturas geradas durante seu periodo de validade; 

XVI - demonstre qualificagao economico-financeira na forma das normas complementares a esta Lei; 
e 

XVII - obrigue-se a transferir a outro prestador de servigo de certificagao credenciado ou a AC Raiz 
todos os documentos e dados necessarios a preservagao dos certificados qualificados emitidos, em 
caso de encerramento de suas atividades. 

Paragrafo unico. A exigencia prevista no inciso II nao se aplica as entidades da administragao publica 
federal direta, autarquica ou fundacional." 

Art. 26. O credenciamento do prestador de servigo de certificagao implicara a emissao de seu 
certificado pela AC Raiz ou por prestador de servigo de certificagao ja credenciado na ICP-Brasil, na 
forma do paragrafo unico do art. 18. 

Art. 27. O ato de credenciamento do prestador de servigo de certificagao pela ICP-Brasil indicara 
quais os tipos de certificados que este esta autorizado a emitir. 

§ 1 s Caso o credenciamento limite a autorizagao a determinados tipos de certificados, o prestador de 
servigo de certificagao podera, a qualquer tempo, solicitar nova autorizagao a emissao de outros tipos 
de certificados. 



173 



§ 2 s O certificado emitido por prestador de servigo de certificagao credenciado, e em conformidade a 
autorizagao de que trata o caput, contera a informagao de que e urn "certificado qualificado", sendo 
vedado o emprego desta expressao para designar quaisquer outros certificados. 

Art. 28. O disposto nos incisos I, II, III, VII, VIII e XVI do art. 24 aplica-se ao credenciamento dos 
prestadores de servigo de carimbo de tempo. 

Paragrafo unico. O seguro para cobertura da responsabilidade civil decorrente da atividade de 
datagao devera ser contratado em conformidade as normas complementares a esta Lei. 

CAPITULO II - DOS COMPONENTES DE APLICACAO E DOS COMPONENTES TECNICOS 

Art. 29. A assinatura de documentos eletronicos, decorrente de certificados qualificados, exige o uso 
de componentes de aplicagao de assinatura que indiquem a produgao de uma assinatura eletronica 
avangada, e permita a identificagao do documento a que a assinatura se refere. 

Art. 30. Os componentes de aplicagao de assinatura conterao, conforme dispuser o Comite Gestor, 
mecanismos que demonstrem: 

I - a que documento a assinatura se refere; 

II - se o documento nao foi modificado; 

III - a que titular de certificado esta vinculado o documento; e 

IV - o conteudo do certificado em que esta baseada a assinatura. 

Art. 31. Os componentes tecnicos para servigos de certificagao conterao, conforme dispuser o Comite 
Gestor, mecanismos que: 

I - assegurem que as chaves de criagao de assinatura produzidas e transferidas a dispositivo seguro 
de criagao de assinatura sejam unicas e sigilosas; e 

II - protejam os certificados que estejam disponiveis para verificagao e obtengao na rede de 
alteragoes, copias ou obtengoes (download) nao autorizadas. 

CAPITULO III - DOS DEVERES DAS PRESTADORAS DE SERVICOS DE CERTIFICACAO 

Art. 32. O prestador de servigo de certificagao credenciado devera, no momento da solicitagao de 
emissao de urn certificado qualificado, informar o solicitante, previa e adequadamente sobre: 

I - os efeitos juridicos das assinaturas eletronicas avangadas; 

II - a forma de geragao do par de chaves criptograficas; 

III - as medidas necessarias para a protegao e seguranga da chave de criagao de assinatura; 

IV - as medidas necessarias para a verificagao de assinaturas eletronicas de maneira confiavel; e 

V - os casos e as formas de revogagao do certificado. 

Paragrafo unico. Os contratos de prestagao de servigo de certificagao digital serao redigidos em 
termos claros e com caracteres legiveis, de modo a facilitar a compreensao de suas clausulas. 

Art. 33. O prestador de servigo de certificagao credenciado devera informar os titulares de certificados 
qualificados por ele emitidos do encerramento de suas atividades, para que estes possam: 

I - solicitar a revogagao de seu certificado; ou 

II - autorizar a transferencia de sua documentagao a outro prestador de servigo de certificagao 
credenciado para preservagao do certificado. 

Paragrafo unico. A informagao de que trata o caput sera prestada apos o disposto no § 1 s do art. 41 . 

Art. 34. O prestador de servigo de certificagao credenciado e obrigado a manter confidencialidade 
sobre todas as informagoes obtidas do titular que nao constem do certificado qualificado. 
§ 1 s Os dados pessoais nao serao usados para outra finalidade que nao a de certificagao, salvo se 
consentido expressamente pelo requerente, por clausula em destaque, que nao vincule a prestagao 
do servigo de certificagao. 

§ 2 s A quebra da confidencialidade das informagoes de que trata o caput deste artigo, quando 
determinada pelo Poder Judiciario, respeitara os mesmos procedimentos previstos em lei para a 
quebra do sigilo bancario. 

CAPITULO IV - DA RESPONSABILIDADE PELA PRESTACAO DO SERVICO DE CERTIFICACAO 
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Art. 35. As entidades integrantes da ICP-Brasil, inclusive a AC Raiz, respondem diretamente pelos 
danos a que derem causa. 

Art. 36. Os prestadores de servigo de certificagao respondem solidariamente pelos danos a que 
derem causa os prestadores de servigo de certificagao por eles diretamente certificados, em caso de 
desatendimento dos requisitos constantes do artigo 25, bem como os orgaos de registro e os 
prestadores de servigo de suporte a eles vinculados. 

Art. 37. Sao nulos de pleno direito os itens das politicas de certificado e das praticas de certificagao, 
bem como as clausulas dos contratos de prestagao de servigo de certificagao, que impossibilitem, 
exonerem ou atenuem a responsabilidade do prestador de servigo de certificagao por vicios de 
qualquer natureza dos servigos por eles prestados. 

Paragrafo unico. Em situagoes justificaveis, podera ocorrer limitagao da indenizagao quando o titular 
do certificado for pessoa juridica. 

CAPITULO V - DA MANUTENCAO DO CREDENCIAMENTO E 
DO ENCERRAMENTO DAS ATIVIDADES 

Art. 38. Para fins de manutengao do credenciamento na ICP-Brasil, os prestadores de servigo de 
certificagao devem observar o disposto nos incisos I a XVII do art. 24 e o seu descumprimento 
ensejara a aplicagao das penalidades dispostas no art. 42. 

Art. 39. O disposto no art. 27 deve ser observado pelos prestadores de servigo de carimbo de tempo 
para fins de manutengao do seu credenciamento na ICP-Brasil. 

Art. 40. O prestador de servigo de certificagao encerrara suas atividades no ambito da ICP-Brasil por 
determinagao da AC Raiz, no caso de descredenciamento, ou ainda por ato voluntario. 

Art. 41. O encerramento das atividades de prestador de servigo de certificagao credenciado pela ICP- 
Brasil implicara a transferencia a outro prestador de servigo de certificagao credenciado de todos 
documentos e dados necessarios a preservagao dos certificados qualificados emitidos. 
§1 e Havendo interesse de mais de urn prestador de servigo de certificagao credenciado, a 
transferencia sera aquele indicado pela entidade que esta encerrando suas atividades, apos 
aprovagao da AC Raiz. 

§ 2 s Caso nao haja interesse de nenhum prestador de servigos de certificagao credenciado, a 
transferencia de que trata o caput sera feita a AC Raiz. 

CAPITULO VI - DA INFRACAO E DAS PENALIDADES 

Art. 42. A AC Raiz podera tomar as medidas necessarias para prevenir ou coibir a pratica de atos 
contrarios a esta Lei ou as suas normas complementares, praticados pelos prestadores de servigo de 
certificagao, orgaos de registro, prestadores de servigo de suporte ou prestadores de servigo de 
carimbo de tempo credenciados na ICP-Brasil. 

Art. 43. A infragao por prestador de servigo de certificagao credenciado a qualquer dispositivo desta 
Lei ou das normas complementares editadas pelo Comite Gestor, assim como as determinagoes 
exaradas pela AC Raiz da ICP-Brasil, implicara a aplicagao das seguintes penalidades, conforme a 
gravidade da infragao e na forma da Lei: 

I - advertencia por escrito; 

II - multa simples ou diaria de R$ 100,00 (cem reais) a R$ 1.000.000,00 (urn milhao de reais); 

III - proibigao de credenciamento de novas politicas de certificado; 

IV - suspensao da emissao de novos certificados; e 

V - descredenciamento. 

§ 1 s As penalidades poderao ser aplicadas isoladas ou cumulativamente. 

§ 2 s O descumprimento da penalidade disposta no inciso IV nao impede a imposigao de outra mais 
grave. 

§ 3 s A penalidade prevista no inciso V sera aplicada, sem prejuizo de outras sangoes cabiveis, 
quando: 
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I - o credenciamento for obtido por meio de declaragoes falsas ou outros meios ilfcitos; 

II - no exercicio de atividade de prestagao de servigo de certificagao estiverem sendo praticados atos 
em desconformidade com esta lei ou com normas complementares editadas pelo Comite Gestor. 

§ 4 s Da decisao de descredenciamento cabera pedido de reconsideragao e recurso com efeito 
suspensivo, na forma das normas complementares a esta lei. 

Art. 44. O disposto neste Capitulo aplica-se, no que couber, aos orgaos de registro, prestadores de 
servigo de suporte e prestadores de servigo de carimbo de tempo credenciados na ICP-Brasil. 

TITULO IV - DAS DISPOSICOES FINAIS E TRANSITORIAS 

Art. 45. Aplica-se, no que couber, a prestagao de servigos de certificagao e de datagao, a legislagao 

de defesa do consumidor e as normas processuais sobre a validade e prova documental. 

Art. 46. Na administragao publica direta e indireta de qualquer dos Poderes da Uniao, dos Estados, 

do Distrito Federal e dos Municipios, somente sera admitido o uso de certificados qualificados. 

Art. 47. O Poder Executivo dispora sobre o uso de certificados qualificados na emissao de 

passaportes, de documentos de identidade, de carteiras nacional de habilitagao, de certificados de 

registros de veiculos, bem como em outras aplicagoes. 

Paragrafo unico. Os documentos em papel copiados em meio eletronico, cujo original tenha sido 
conferido, farao prova plena quando o tabeliao atestar a conformidade com o original apondo sua 
assinatura digital. 

Art. 48. As referencias normativas a Autoridades Certificadoras - AC passam a ser entendidas como 
prestadores de servigos de certificagao, exceto no caso da AC Raiz da ICP-Brasil; e as referencias a 
Autoridades de Registro - AR passam a ser entendidas como orgaos de registro. 

Art. 49. A constituigao ou declaragao de direitos e obrigagoes instrumentada em documento eletronico 
devera, nos casos que importem em transferencia de dominio imobiliario ou envolvam interesse de 
incapazes, para ter validade perante terceiros, sujeitar-se as prescrigoes da legislagao civil, 
processual e de registros publicos em vigor. 

Art. 50. As entidades da Administragao Publica Federal direta, autarquica e fundacional, credenciadas 
pela ICP-Brasil para prestar servigo de certificagao, terao prazo de urn ano, contado da publicagao 
desta lei, para contratar o seguro a que se refere o inciso II do art. 24. 

Art. 51 . Fica revogada a Medida Provisoria n e 2.200-2, de 24 de agosto de 2001 , sendo convalidados 
os atos praticados nela fundamentados. 

Art. 52. Esta Lei entra em vigor na data de sua publicagao. 
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DECRETO N° 4.522 DE 17 DE DEZEMBRO DE 2002 

Autor: Poder Executivo 

Dispoe sobre o Sistema de Geragao e Tramitagao de Documentos Oficiais - SIDOF, e da outras 
providencias. O PRESIDENTE DA REPUBLICA, no uso da atribuigao que Ihe confere o art. 84, inciso 
VI, almea "a", da Constituigao, 

DECRETA: 

Art. 1 s . Ficam organizadas sob a forma de sistema, com a designagao de Sistema de Geragao e 
Tramitagao de Documentos Oficiais - SIDOF, as atividades de elaboragao, redagao, alteragao, 
controle, tramitagao, administragao e gerencia das propostas de atos normativos a serem 
encaminhadas ao Presidente da Republica pelos Ministerios e orgaos integrantes da estrutura da 
Presidencia da Republica. 

Art. 2 s . O SIDOF tern a seguinte estrutura: 

I - orgao central - Casa Civil da Presidencia da Republica, responsavel pela formulagao de diretrizes, 
orientagao, planejamento, coordenagao, supervisao e controle dos assuntos a ele relativos; 

II - orgaos setoriais - unidades incumbidas especificamente de atividades concernentes ao Sistema 
nos Ministerios e orgaos integrantes da Presidencia da Republica; 

III - orgaos seccionais - unidades incumbidas da execugao das atividades do SIDOF, nas autarquias e 
fundagoes publicas. 

Art. 3 s . Participam do SIDOF: 

I - o Presidente da Republica; 

II - os Ministros de Estado e os dirigentes maximos de orgaos integrantes da estrutura da Presidencia 
da Republica, responsaveis pela proposigao de documentos oficiais ao Presidente da Republica; 

III - os titulares dos orgaos de assistencia juridica dos ministerios e da Presidencia da Republica; 

IV - o Administrador-Geral do SIDOF, designado pelo Subchefe para Assuntos Juridicos da Casa Civil 
da Presidencia da Republica, responsavel pela formulagao de diretrizes, orientagao, planejamento, 
coordenagao, supervisao e controle dos assuntos relativos ao Sistema; 

V - o Administrador de Usuarios e os responsaveis ou prepostos setoriais e seccionais incumbidos 
das atividades concernentes ao SIDOF, nos Ministerios e orgaos supervisionados, ou integrantes da 
Presidencia da Republica; 

VI - o orgao responsavel pela infra-estrutura de tecnologia da informagao, a cargo da Diretoria de 
Tecnologia da Informagao da Secretaria de Administragao da Casa Civil da Presidencia da Republica, 
incumbido da implementagao e atualizagao do SIDOF, abrangendo software basico e aplicacoes, 
bem como pela permanente coordenagao das aplicagoes da tecnologia utilizada. 

VII - a Coordenagao-Geral de Certificacao da Secretaria de Administragao da Casa Civil como 
Autoridade Certificadora da Presidencia da Republica; e 

VIII - o orgao responsavel pela infra-estrutura de equipamentos, manutencao e suporte tecnico aos 
usuarios do SIDOF, nos orgaos setoriais e seccionais a cargo das respectivas Coordenagoes de 
Modernizagao e Informatica, ou equivalentes. 

Art. 4 s . Incumbe ao orgao central do SIDOF: 

I - quanto a administracao: 

a) gerenciar o cadastramento de orgaos, Ministerios e Administradores de Usuarios, atribuindo perfil 
de acesso para os responsaveis ou prepostos setoriais e seccionais; 

b) bloquear ou modificar o acesso dos responsaveis ou prepostos setoriais e seccionais; 

c) excluir, incluir ou modificar fluxos de documentos; 

d) intervir no fluxo ou tramite natural do documento, direcionando-o para a etapa que se fizer 
necessaria; 

e) acessar o historico do Sistema e visualizar as agoes realizadas; 

f) manter relacionamento direto com os responsaveis ou prepostos do Sistema nos orgaos setoriais e 
seccionais, expedindo-lhes instrugoes; 
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g) expedir normas para disciplinar a utilizagao, padronizagao, envio e recepgao de mensagens 
necessarias ao fiel funcionamento do Sistema; 

h) supervisionar e coordenar a execugao das normas de que tratam as alineas "a" a "g"; e 

i) executar outras atividades quando determinadas pelo Secretario-Executivo da Casa Civil. 

II - quanto a instituigao e manutengao do Sistema, por intermedio da Diretoria de Tecnologia da 
Informagao da Secretaria de Administragao da Casa Civil da Presidencia da Republica: 

a) a elaboragao ou a contratagao de servigos de terceiros para sua execugao; 

b) a disponibilizagao de informagoes tecnicas aos orgaos setoriais e seccionais necessarias ao seu 
regular funcionamento; 

c) prover os meios para o armazenamento e guarda das informagoes em banco de dados 
centralizado com sigilo, integridade e disponibilidade; 

d) garantir restrigao de acesso dos participantes do Sistema as funcionalidades e as informagoes 
efetivamente necessarias para a execugao da atividade especifica; 

e) manter a operagao da aplicagao, garantindo os requisitos de seguranga, disponibilidade e 
acessibilidade; 

f) supervisionar e coordenar a execugao das normas de que tratam as alineas "a" a "e". 

III - quanto a certificagao digital dos participantes, sob a responsabilidade da Autoridade Certificadora 
da Presidencia da Republica: 

a) identificar e cadastrar os participantes do Sistema na presenga destes; 

b) emitir, expedir, distribuir, revogar e gerenciar os certificados digitals; e 

c) assegurar a assinatura eletronica, irretratabilidade, integridade e autenticidade pessoal. 



Art. 5 s . No ambito dos orgaos setoriais e seccionais do SIDOF, incumbe: 

I - aos Ministros de Estado apor as assinaturas digitais requeridas para o tramite do respectivo 
documento oficial e autorizar o seu encaminhamento; 

II - aos titulares de orgaos de assessoramento juridico: 

a) formular pareceres juridicos e encaminha-los ao preposto, para apreciagao do Ministro de Estado; 
ou 

b) apor a assinatura digital requerida no parecer para o tramite do documento oficial, quando 
encaminhado pelo preposto; 

III - ao Administrador de Usuarios: 

a) gerenciar as atividades do Sistema no ambito de sua unidade administrativa; 

b) propor ao Administrador-Geral a inclusao ou exclusao de participantes do Sistema; e 

c) manter relacionamento direto com os responsaveis ou prepostos do Sistema nos orgaos 
seccionais, expedindo-lhes instrugoes. 

IV - aos prepostos: 

a) dar inicio ao tramite do documento, providenciando a inclusao no Sistema dos textos dos atos 
normativos a serem encaminhados ao Presidente da Republica; 

b) assessorar o Ministro de Estado e demais autoridades do respectivo Ministerio quanto ao 
encaminhamento e a aposigao de suas assinaturas digitais para o tramite oficial do documento; e 

c) tomar as providencias necessarias a execugao eficaz do tramite do documento no ambito de seu 
orgao ou entidade. 

§ 1 s Compete as Coordenagoes de Modernizagao e Informatica dos Ministerios, ou equivalentes nos 
orgaos seccionais, o provimento de recursos tecnicos e de suporte em informatica aos participantes 
do SIDOF, em seus respectivos orgaos, necessarios ao pleno funcionamento do Sistema. 

§ 2 s Os orgaos setoriais e seccionais do SIDOF prestarao ao orgao central todas as informagoes e o 
apoio necessario ao planejamento, coordenagao, acompanhamento, fiscalizagao e controle das 
atividades previstas neste Decreto. 

§ 3 s Os responsaveis ou prepostos setoriais do SIDOF vinculam-se ao Administrador-Geral para os 
efeitos do disposto neste Decreto, sem prejuizo da subordinagao administrativa decorrente de sua 
posigao na estrutura do Ministerio e orgaos da estrutura da Presidencia da Republica. 

Art. 6 s . Incumbe ao Administrador-Geral do SIDOF: 

I - gerenciar o cadastramento dos usuarios do Sistema; 
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II - manter relacionamento de apoio e orientagao operacional com todas as areas e participantes do 
Sistema; 

III - expedir normas para disciplinar a utilizagao, normatizagao, envio e recepgao de mensagens; e 

IV - praticar as atividades administrativas de que trata o inciso I do art. 4 s . 

Art. 7 s . Os Secretarios-Executivos dos Ministerios indicarao, ao Administrador-Geral do SIDOF, o 
Administrador de Usuarios, em seu ambito de atuagao, responsavel por registrar o cadastramento e 
exclusoes de usuarios, bem assim as ausencias e afastamentos legais e regulamentares do titular da 
Pasta, apos autorizados pelo Presidente da Republica. 

Art. 8 s . O SIDOF sera implantado em fases, mediante ato do Chefe da Casa Civil da Presidencia da 
Republica, abrangendo inicialmente as atividades entre o orgao central e os orgaos setoriais. 

Paragrafo unico. Realizar-se-ao, sob a forma de auditoria, a cargo da Subchefia para Assuntos 
Juridicos da Casa Civil da Presidencia da Republica, o controle, a fiscalizagao e a orientagao 
especifica das atividades do SIDOF. 

Art. 9 s . O Chefe da Casa Civil da Presidencia da Republica podera baixar normas complementares 
para a execugao do disposto neste Decreto. 

Art. 10. Este Decreto entra em vigor na data de sua publicagao. 
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PROJETO DE LEI DO SENADO N° 229 DE 22 DE JUNHO DE 2005 

Autor: Sen. Pedro Simon 

Dispoe sobre a autenticidade e o valor juridico e probatorio de documentos produzidos, emitidos ou 
recebidos por orgaos publicos federais, estaduais e municipais, por meio eletronico. 

0 Congresso Nacional decreta: 

Art. 1 s Os documentos produzidos, emitidos ou recebidos por orgaos publicos federais, estaduais ou 
municipais, bem como pelas empresas publicas, por meio eletronico ou similar, tern o mesmo valor 
juridico e probatorio, para todos os fins de direito, que os produzidos em papel ou em outro meio 
fisico reconhecido legalmente, desde que assegurada a sua autenticidade e integridade. 

Paragrafo unico. A autenticidade e integridade serao garantidas pela execugao de procedimentos 
logicos, regras e praticas operacionais estabelecidas pelo Poder Publico, na forma que dispoe a 
Medida Provisoria n e 2.200-2, de 24 de agosto de 2001 . 

Art. 2 s A copia, traslado ou transposigao de documento em papel ou em outro meio fisico para o meio 
eletronico somente tera validade se observados os requisites estabelecidos nesta Lei e em seu 
regulamento. 

Art. 3 s A reprodugao em papel ou em outro meio fisico de documento eletronico somente tera 
validade jundica se autenticada na forma do regulamento. 

Art. 4 s O documento eletronico a que se refere esta Lei devera ser acessivel, legivel e interpretavel 
segundo os padroes correntes em tecnologia da informagao. 

Art. 5 s Fica autorizado o arquivamento por meio magnetico, optico, eletronico ou similar, de 
documentos publicos ou particulares. 

Art. 6 s Atendido o disposto nesta Lei, os documentos arquivados na forma do artigo anterior, assim 
como suas certidoes, traslados e copias obtidas diretamente dos respectivos arquivos, em meio 
magnetico, optico, eletronico ou similar, produzirao, para todos os fins de direito, os mesmos efeitos 
legais dos documentos originais. 

Art. 1- O arquivamento devera garantir a integridade e autenticidade dos documentos, assegurando, 
ainda, que: 

1 - sejam acessiveis e que os respectivos dados e informagoes possam ser lidos e interpretados no 
contexto em que devam ser utilizados; 

II - permanegam disponiveis para consultas posteriores; 

III - sejam preservados no formato em que foram originalmente produzidos. 

Art. 8 s O sistema de arquivamento na forma autorizada por esta Lei devera ainda: 

I - manter equipamentos de computagao necessarios para a recuperagao e a exibigao dos dados 
arquivados, durante o prazo em que as respectivas informagoes permanecerem uteis; 

II - dispor de metodos e processos racionais de busca e trilhas de auditoria; 

III - conter dispositivos de seguranga contra acidentes e emergencias, capazes de evitar a destruigao 
ou qualquer dano que impossibilite o acesso aos dados arquivados ou em processo de arquivamento. 

Art. 9 s Os documentos em papel ou em outro meio fisico e que tenham sido arquivados em meio 
magnetico, optico, eletronico ou similar poderao, a criterio da autoridade competente, ser eliminados 
por incineragao, destruigao mecanica ou outro processo adequado para este fim. 

§ 1 s A eliminagao a que se refere o caput far-se-a mediante lavratura de termo circunstanciado, por 
autoridade competente. 
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§ 2 s Os documentos de valor historico nao serao eliminados, e poderao ser arquivados em local 
diverso da repartigao que os detenha, para sua melhor conservagao. 

Art. 1 0. Esta Lei entra em vigor na data de sua publicagao. 
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PROJETO DE LEI DA CAMARA N° 6.693 DE 7 DE MAR^O DE 2006 

Autor: Dep. Sandra Rosado 



Altera o art. 375 da lei no 5.869, de 1 1 de Janeiro de 1 973 - Codigo de Processo Civil. 



O Congresso Nacional decreta: 

Art. 1 s Esta lei altera a redagao do o art. 375 da lei no 5.869, de 11 de janeiro de 1973 - Codigo de 
Processo Civil. 

Art. 2 s O art. 375 da lei no 5.869, de 1 1 de janeiro de 1 973 - Codigo de Processo Civil passa a vigorar 
com a seguinte redagao : 

"Art. 375. O telegrama, o radiograma ou o e-mail presume-se conforme com o original, provando a 
data de sua expedicao e do recebimento pelo destinatario." 

Art. 3 s Esta lei entra em vigor na data de sua publicagao. 
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MENSAGEM DA PRESIDENCIA N° 268 DE 24 DE ABRIL DE 2006 



Senhores Membros do Congresso Nacional 

Solicito a Vossas Excelencias, de conformidade com a Exposigao de Motivos da Senhora Ministra de 
Estado Chefe da Casa Civil, a retirada de tramitagao do Projeto de Lei n° 2.281, de 2003, que "Institui 
a Taxa de Credenciamento - TCD, a Taxa de Fiscalizagao e de Manutengao de Credenciamento - 
TFM, as multas que especifica, e da outras providencias", enviado a Camara dos Deputados com a 
Mensagem n°510, de 2003. 

Excelentissimo Senhor Presidente da Republica, 

Submeto a elevada consideragao de Vossa Excelencia solicitagao de retirada de tramitagao do 
Projeto de Lei n° 2.281, de 2003, que "Institui a Taxa de Credenciamento - TCD, a Taxa de 
Fiscalizagao e de Manutengao de Credenciamento - TFM, as multas que especifica, e da outras 
providencias". 

2. O ITI e uma Autarquia Federal designada para exercer a fungao de Autoridade Certificadora Raiz 
da ICP-Brasil, conforme Medida Provisoria n° 2.200-2, de 24 de agosto de 2001, e, como autarquia, 
deveria possuir autonomia financeira, conforme preconiza o Decreto-Lei n°200, de 1967. Desde sua 
criagao, porem, subsiste com verbas repassadas. 

3. O Projeto de Lei n° 2.281, de 2003, foi elaborado com a finalidade de criar politica arrecadatoria 
propria para sustentagao do Instituto, baseada na cobranca de taxas sobre as atividades de 
credenciamento, manutengao de credenciamento e fiscalizagao das entidades vinculadas a ICP- 
Brasil, atividades essas que sao de responsabilidade do ITI. 

4. Ocorre que a politica arrecadatoria proposta, considerados os valores das taxas estipuladas no 
Projeto de Lei n° 2.281, de 2003, e a quantidade de entidades atualmente credenciadas, nao 
permitiria, hoje, sustentar as atividades do Instituto. 

5. Por fim, observamos que os termos em que a materia e tratada no Projeto de Lei n° 2.281, de 
2003, ja nao mais se coadunam com aqueles utilizados no Projeto de Lei n°7.316, de 2002, que visa 
substituir a Medida Provisoria n° 2.200-2, de 2001, disciplinando o uso de assinaturas eletronicas e 
prestagao de servigos de certificagao digital no Brasil 

6. Diante dessas consideragoes, submeto a apreciagao de Vossa Excelencia proposta no sentido de 
que o referido Projeto de Lei seja retirado de tramitagao no Congresso Nacional, para que esta Casa 
Civil possa reavaliar a materia. 
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ANEXO II - TABELA COMPARATIVA DA LEGISLACAO 
ESTRANGEIRA 



Pais 


Portuaal 


Reoublica Tcheca 


1 rlanda 


Peru 


Instrumento legal 


Decreto-Lei n s 
290-D/99 


Ato n 2 227, de 29/6/2000 
(The Electronic Sig. Act) 


Electronic Com- 
merce Act, 2000 


Ley n 2 27269 


A legislagao inclui 
definigoes dos 
principals termos 
usados 


SIM 


SIM 


SIM 


NAO (Remete 
para o 

regulamento) 


Trata da validade do 

documento 

eletronico 


SIM 


SIM (mensagem 
eletronica) 


SIM 


NAO 


Trata da assinatura 
eletronica 


SIM 


SIM 


SIM 


SIM 


E neutra 

tecnologicamente 


NAO 

(criptografia 
assimetrica) 


SIM 


SIM 


NAO (criptografia 
assimetrica) 


Trata da certificagao 


SIM 


SIM 


SIM 


SIM 


Admite o credenci- 
amento da entidade 
certificadora 


SIM (voluntario) 


SIM (voluntario) 
(Administragao publica 
so aceita documento 
eletronico certificado por 
entidade credenciada 




SIM (voluntario) 


SIM (voluntario) 
(compulsorio o 
registro) 


Trata de 
certificadoras de 
outro pais 


SIM 


SIM 


NAO 


SIM 


Trata da protegao a 
privacidade 


SIM (somente 
de informagoes 
prestadas as 
entidades 
certificadoras) 


NAO 


NAO 


SIM (somente de 
informagoes 
prestadas as 
entidades 
certificadoras) 


Trata da protegao ao 
consumidor 


NAO 


SIM (remete a legislagao 
especifica) 


SIM 


NAO 


Trata dos deveres e 
responsabilidades 
dos intermediaries 
(provedores) 


NAO 


NAO 


NAO 


NAO 


Inclui disposigoes 
tributarias 


NAO 


NAO 


NAO 


NAO 



Tabela 11.1 - Analise comparativa da legislagao adotada em outros paises e por organismos internacionais. 
Fonte: Semeghini, J. Acessado em 07/07/2006 em http://www.cbeji.com.br. 
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Pais 


Colombia 


Espanha 


Alemanha 


Hong-Kong 


1 nstrumento legal 


Ley 527 de 
1999 


Real Decreto- 
ry 14/1999 


Law Governing 
Framework 
Conditions for 
Electronic 
Signatures 


Electronic 

Transactions 

Ordinance 


A legislacao inclui 
definicoes dos 

[Jl II 1 l_l \JC\ 1 Z> LCI 1 1 IUj 

usados 


SIM 


SIM 


SIM 


SIM 


Trata da validade 

UU UUL.Ulllt.IILU 

eletronico 


SIM 

V 1 1 1 ci \z)C\ y ci 1 1 

eletronica) 


NAO 


NAO 


SIM 


Trata Ha accinati ira 
1 1 d Ld Ud dbbllldlUld 

eletronica 


0 1 l v l 


0 1 l v l 


O 1 l v l 


0 1 l v l 


E neutra 

tecnologicamente 


NAO 

(criptografia 

a i m pt r i c 7\ \ 


SIM 


_ 

NAO (criptografia 
assimetrica) 


NAO 

(criptografia 

?>c:c:i mpfrira^ 

□ jjII 1 ICLI IV.C1/ 


Trata da 
certificacao 


SIM 


SIM 


SIM 


SIM 


Ad mite o 

credenciamento da 

entidade 

certificadora 


SIM 

(compulsoria) 


SI M (voluntaria) 


SIM (voluntaria) 


SIM 

(voluntaria) 


Trata de 
certificadoras de 
outro pais 


SIM 


SIM 


SIM 


SIM 


Trata da protecao a 
privacidade 


NAO 


NAO 


SIM (somente de 
informacoes 
prestadas as 
entidades 
certificadoras) 


SI M (somente 
de 

informacoes 
prestadas as 
entidades 

rprtif ir^rlnr^c:\ 

LCI LI 1 ILUUUI C\J>f 


Trata da protecao 
an ronsumidor 

UU LUI 1 JU 1 MIUUI 


NAO 


NAO 


NAO 


NAO 


Trata dos deveres e 
responsabilidades 
dos intermediaries 
(provedores) 


NAO 


NAO 


NAO 


NAO 


1 nclui disposicoes 
tributarias 


NAO 


NAO 


NAO 


NAO 



Tabela 12.1 (continua^ao) - Analise comparativa da legislacao adotada em outros paises e por organismos 
internacionais. Fonte: Semeghini, J. Acessado em 07/07/2006 em http://www.cbeji.com.br. 
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Pais 


Cingapura 


Estados Unidos 


Com. Europeia 


UNCITRAL 


1 nstrumento legal 


Electronic 
Transactions Act 


Electronic 
Signatures in 
Global and 
National 

Commmerce Act 


Diretiva 99/93- 
CE 


Lei Modelo 


A legislacao inclui 
definicoes dos 
principals termos 
usados 


SIM 


NAO 


SIM 


SIM 


Trata da validade 
do documento 
eletronico 


SIM 


SI M (mensagem 
eletronica) 


SIM 


SIM (mensagem 
eletronica) 


Trata da assinatura 
eletronica 


SIM 


SIM 


SIM 


SIM 


1 

E neutra NAO 
tecnologicamente (criptografia 

assimetrica) 


SIM 


SIM 


SIM 


Trata da 
certificacao 


SIM 


NAO 


SIM 


NAO 


Ad mite o 

credenciamento da 

entidade 

certificadora 


SI M (voluntario) 


NAO 


SIM (voluntario) 


NAO 


Trata de 
certificadoras de 
outro pais 


SIM 


NAO 


SIM 


NAO 


Trata da protecao a 
privacidade 


NAO 


NAO 


Remete a outra 
diretiva (95/46 
- CE) 


NAO 


Trata da protecao 
ao consumidor 


NAO 


SI M ( preserva 
direitos de 
outras 
legislacoes) 


NAO 


NAO 


Trata dos deveres e 
responsabilidades 
dos intermediaries 
(provedores) 


SIM 


NAO 


NAO 


NAO 


1 nclui disposicoes 
tributarias 


NAO 


NAO 


NAO 


NAO 



Tabela 12.1 (continuacao) - Analise comparativa da legislacao adotada em outros paises e por organismos 
internacionais. Fonte: Semeghini, J. Acessado em 07/07/2006 em http://www.cbeji.com.br. 
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